Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/07/2014
Segons els investigadors, un atacant podria firmar una aplicació maliciosa amb un certificat que apareix subscrit pel certificat d’Adobe (no modificable), però que en realitat no ho és.
Sempre que el certificat d’Adobe estiga present en la cadena de certificats de l’aplicació, el sistema prendrà el codi de l’aplicació i l'injectarà en altres aplicacions instal·lades. El codi injectat essencialment es convertix en part de les altres aplicacions, i n’hereta els permisos. Així, tindria accés a tots les dades emmagatzemades per eixes aplicacions, comunicacions de xarxa o realitzar totes les accions autoritzades per a l’aplicació en el dispositiu.
A més del certificat d’Adobe, també es podria explotar este error de seguretat amb el certificat per a la tecnologia d’administració de dispositius mòbils desenrotllada per una companyia 3LM, utilitzada per importants fabricants com ara Sony, HTC, Motorola, Samsung i LG en alguns dels seus models.
De moment, no s’ha identificat cap campanya fraudulenta activa que estiga explotant este error, encara que no es descarta la seua utilització, per este motiu s’ha d’extremar les precaucions i seguir les recomanacions indicades en este avís.
Sistemes Afectats:Aplicacions en dispositius Android amb versió anterior a 4.4 (KitKat) que utilitzen el component WebView que és una característica comunament utilitzada per les aplicacions per a mostrar contingut Web utilitzant el motor del navegador integrat en Android.
Referències:None
Solució:L’error de seguretat ja va ser reportat a l’abril i Google va traure un pegat genèric per als fabricants de dispositius la responsabilitat del qual és anar generant les actualitzacions necessàries. No obstant és possible que en alguns casos esta actualització tarde a arribar o inclús no aparega.
És per això que es recomana no instal·lar aplicacions fora de Google Play i seguir les següents pautes a l’hora d’instal·lar aquelles que sí que estiguen en el Market d’Android:
Observar la procedència de l’aplicació. El nom de desenvolupadors d’aplicacions populars és un bon indicador per a comprovar la legitimitat de l’aplicació.
Comprovar la puntuació (rating), així com els comentaris dels usuaris, és una altra font d’informació amb què podrem conéixer les experiències dels usuaris a l’hora d’instal·lar i usar l’aplicació.
Investigar altres fonts d’informació independents al Market d’Android és també recomanable si dubtem de la legitimitat de l’aplicació.
D’altra banda, també es recomana actualitzar el dispositiu amb els pegats disponibles pel fabricant i comprovar l’estat del seu dispositiu seguint els passos següents:
Instal·lar l’app publicada pels investigadors.
Amb la quals es pot comprovar si:
El teu sistema és vulnerable a la fallada o podria ser actualitzat.
El teu sistema permet instal·lacions d’aplicacions amb origen no confiable.
Alguna aplicació instal·lada en el dispositiu està tractant d’explotar algun altre error de seguretat descobert per ells.
Així mateix, es recomana fer ús d’una ferramenta especialitzada com CONAN mobile, a fi d’afegir una protecció addicional de seguretat al dispositiu mòbil.
Notes: None