![Cuidado: el nuevo cliente de Samba para Android podría poner en riesgo tu dispositivo [Actualizada]](https://i.blogs.es/a79b62/samba/450_1000.jpg)
Esta semana nuestros compañeros de Xataka Android nos avisaban de la aparición de una nueva aplicación para la plataforma móvil de Google que permitía acceder a los archivos de nuestro PC de forma remota a través del protocolo SMB/CIFS cuya implementación más conocida es Samba.
Esta herramienta tiene un problema: en su lanzamiento solo el protocolo SMBv1 estaba disponible, y esta primera versión es conocida por haber sido aprovechada por los ransomware WannaCrypt y NotPetya. En el código de la herramienta, disponible en GitHub, parecen estar ya planteando soluciones, pero por el momento quizás no sea buena idea utilizarla.
Cuidado con SMB1
Ned Pyle, desarrollador en Microsoft, explicaba en AndroidPolice cómo esta herramienta hacía uso de código del cliente SMB1 que "no proporciona suficientes protecciones para ataques MitM (Man in the Middle) a no ser que se configure cuidadosamente con UNC hardening". De hecho, aquí este experto recomendaba "no usar ningún cliente SMB de ningún vendedor que solo soporte SMB1". Este desarrollador ya explicó en profundidad los problemas de esa antigua versión en un artículo en Microsoft TechNet.
As an owner of SMB at MS, I cannot emphasize enough how much I want everyone to stop using SMB1 https://t.co/kHPqvyxTKC
— Ned Pyle (@NerdPyle) 12 de abril de 2016
El código fuente de la aplicación está disponible en GitHub como parte del repositorio de Google —lo que parece demostrar que efectivamente la herramienta proviene de sus desarrolladores—, y en ese código se explica que la aplicación está desarrollada partiendo de la base de Samba 4.5.1.
Las alertas parecen haber saltado también entre quienes han analizado esas prestaciones, porque ya hay al menos una petición de que en la configuración por defecto se haga uso de SMB2 en lugar de SMB1, y ese commit ya se ha aplicado a la herramienta, aunque en Google Play la versión disponible sigue siendo la 1.0 del pasado 5 de julio.
Nuestro consejo es que a menos que necesitéis la herramienta para un escenario específico de uso con SMB1 y sepáis los riesgos a los que os exponéis, esperéis a que dicha utilidad se actualice para hacer uso por defecto de SMB2, algo que permitiría reforzar la seguridad de esta aplicación de forma notable.
Vía | The Register
En Xataka Android | Cómo acceder a los archivos de tu PC desde Android con Android Samba Client
Ver 3 comentarios
3 comentarios
tony_gpr
Como bien dice el artículo, la aplicación Android Samba Client, que acaba de sacar Google, es de código abierto y software libre (Licencia GNU), y su código fuente está disponible en GitHub:
https://github.com/google/samba-documents-provider
Aquí el último commit, que limita el protocolo de Samba, estableciendo como mínimo la version 2:
https://github.com/google/samba-documents-provider/commit/01bde4ab53e53c97f8523b83398222b6e2d8555b
Y por lo tanto este artículo tiene fecha de caducidad, que es hace 6 horas si contamos el momento del cambio en el código, o probablemente dentro de un par de horas, días como mucho, si contamos el momento de la actualización de la aplicación.
oletros
Pues, no, el nuevo cliente samba no puede poner en peligro tu dispositivo, ya que es un cliente y las vulnerabilidades estan en el servidor.
Y, lo siento, poner como fuente un articulo de The Register con ese titulo hace que la calidad de este blog baje bastante