Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/07/2014
Vulnerabilidad de seguridad crítico en Android para versiones anteriores a 4.4 (Kitkat)
Investigadores de BlueBox han descubierto un fallo de seguridad, apodado como Fake ID, que afectaría a millones de dispositivos (alrededor de 88% de los dispositivos Android que utilizan Google Play tienen versiones anteriores a 4.4.). Este fallo permitiría tomar el control de las apps instaladas y sus datos e incluso tomar el control del dispositivo entero.Según los investigadores, un atacante podría firmar una aplicación maliciosa con un certificado que aparece suscrito por el certificado de Adobe (no modificable), pero que en realidad no lo es.
Siempre y cuando el certificado de Adobe esté presente en la cadena de certificados de la aplicación, el sistema tomará el código de la aplicación y lo inyecta en otras aplicaciones instaladas. El código inyectado esencialmente se convierte en parte de las otras aplicaciones, heredando sus permisos. Así, tendría acceso a todos los datos almacenados por esas aplicaciones, comunicaciones de red o realizar todas las acciones autorizadas para la aplicación en el dispositivo.
Además del certificado de Adobe, también se podría explotar este fallo de seguridad con el certificado para la tecnología de administración de dispositivos móviles desarrollado por una compañía 3LM, utilizado por importantes fabricantes como Sony, HTC, Motorola, Samsung y LG en algunos de sus modelos.
Por el momento, no se ha identificado ninguna campaña fraudulenta activa que esté explotando este fallo, aunque no se descarta su utilización, por este motivo se debe extremar las precauciones y seguir las recomandaciones indicadas en este aviso.
Sistemas Afectados:
Aplicaciones en dispositivos Android con versión anterior a 4.4 (KitKat) que utilizan el componente WebView que es una característica comúnmente utilizada por las aplicaciones para mostrar contenido Web utilizando el motor del navegador integrado en Android.
Referencias:None
Solución:El fallo de seguridad ya fue reportado en Abril y Google sacó un parche genérico para los fabricantes de dispositivos cuya responsabilidad es ir generando las actualizaciones necesarias. No obstante es posible que en algunos casos esta actualización tarde en llegar o incluso no aparezca.
Es por ello que se recomienda no instalar aplicaciones fuera de Google Play y seguir las siguientes pautas a la hora de instalar aquellas que sí que estén en el Market de Android:
- Observar la procedencia de la aplicación. El nombre de desarrolladores de aplicaciones populares es un buen indicador para comprobar la legitimidad de la aplicación.
- Comprobar la puntuación (rating), así como los comentarios de los usuarios, es otra fuente de información con la que podremos conocer las experiencias de los usuarios a la hora de instalar y usar la aplicación.
- Investigar otras fuentes de información independientes al Market de Android es también recomendable si dudamos de la legitimidad de la aplicación.
Por otro lado, también se recomienda actualizar el dispositivo con los parches disponibles por el fabricante y comprobar el estado de su dispositivo siguiendo los pasos siguientes:
- Instalar la app publicada por los investigadores.
- Con la que se puede comprobar si:
- Si tu sistema es vulnerable al fallo o podría ser actualizado.
- Si tu sistema permite instalaciones de aplicaciones con origen no confiable.
- Si alguna aplicación instalada en el dispositivo está tratando de explotar algún otro fallo de seguridad descubierto por ellos.
Así mismo, se recomienda hacer uso de una herramienta especializada como CONAN mobile, con el fin de añadir una protección adicional de seguridad al dispositivo móvil.