Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/03/2015
Vulnerabilidad en dispositivos Android
La vulnerabilidad podría instalar aplicaciones maliciosas sin conocimiento del usuario.
Llamada Android Installer Hijacking o Secuestro del Instalador Android, esta vulnerabilidad permitiría a un atacante reemplazar una aplicación legítima con malware, sin el conocimiento del usuario durante la instalación, para hacerse con el control del dispositivo. Afecta a aplicaciones descargadas desde fuera de "Google Play".
Las versiones afectadas de Android son las anteriores a la versión 4.3 y a algunas distribuciones de Android 4.3. Casi un 50% de dispositivos Android.
El fallo está en "Time of Check to Time of Use" (TOCTOU) en el "PackageInstaller" puesto que, se produce un cambio entre el momento en que se realiza una comprobación ("Time of Check") y el momento en que se usa ("Time of Use"). Es decir, "PackageInstaller" no verifica el archivo APK entre el momento en que se muestran al usuario los permisos necesarios y tras aceptar la instalación. Es entonces cuando se podría reemplazar la aplicación que se está instalando. Esto no puede ocurrir en Play Store puesto que se trata de un espacio protegido.
El descubridor, Palo Alto Networks, ha publicado un escáner para comprobar si tu dispositivo puede ser afectado.
Recomendaciones
Se aconseja descargar aplicaciones de Android desde el repositorio oficial de Google.
La Android Open Source Project (AOSP) de Google ha publicado parches para Android 4.3 y posteriores. La actualización está disponible desde:
Fuente: Hispasec una-al-dia