CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/07/2014

Noves vulnerabilitats en Android poden arruïnar-te

S’han anunciat dos noves vulnerabilitats en sistemes Android (anteriors a la versió 4.4.4) que podria permetre a una aplicació maliciosa realitzar telefonades a números de tarifació especial sense que l’usuari se n’adone i inclús sense permisos per a això.

Risc: Alt

Les dos vulnerabilitats, molt semblants entre si, han sigut anunciades per Curesec. El primer dels problemes, amb CVE-2013-6272, apareix en Android 4.1.1 Jelly Bean i es presenta en totes les versions fins a Android 4.4.2 KitKat. Residix en com.android.phone i tot pareix indicar que s’ha corregit en l’última versió 4.4.4.

D’altra banda, una segona vulnerabilitat (sense CVE assignat encara) en com.android.contacts només està present en les versions Android 2.3.3 i 2.3.6. Ambdós vulnerabilitats són explotables de la mateixa manera amb idèntics resultats.

Els dos problemes podrien permetre a una aplicació maliciosa evitar els permisos d’Android i permetre la realització de telefonades o enviar codis USSD (Unstructured Supplementary Service Data). Els codis USSD, són codis específics de les operadores que permeten la desviació de telefonades, bloquejar targetes SIM, canviar opcions d’anonimat de telefonada, etc.

Les accions malicioses es realitzarien sense autorització, intervenció ni coneixement de l’usuari. I podrien permetre que una aplicació realitze telefonades a qualsevol número de telèfon (inclosos els de tarifació especial). Açò podria portar que l’usuari es trobe amb la consegüent sobrecàrrega en la seua factura telefònica.

Es pot saber quina versió d’Android té un dispositiu, es pot consultar en el menú Ajustos/Sobre el telèfon/Versió d’Android.

Curesec ha publicat una aplicació com a prova de concepte que pot permetre a un usuari comprovar si el seu dispositiu és vulnerable.

Sistemes Afectats:

CVE-2013-6272:Des d’Android 4.1.1 fins a Android 4.4.3

CVE-2014-N/A: Android 2.3.3 y 2.3.6

Referències:

CVE-2013-6272

Solució:

Actualitzar a Android 4.4.4 o superior.

En cas que no siga possible, cal assegurar la procedència de les aplicacions que s’instal·len en el terminal. Descarregar-les de repositoris oficials de Google únicament.

Notes:

CVE-2013-6272 com.android.phone: http://blog.curesec.com/article/blog/35.html

CVE-2014-N/A com.android.contacts: http://blog.curesec.com/article/blog/36.html

Font: Hispasec una-al-día

CSIRT-CV