CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/07/2014

Vulnerabilitat de seguretat crítica en Android per a versions anteriors a 4.4 (Kitkat)

Investigadors de BlueBox han descobert un error de seguretat, anomenat com Fake ID, que afectaria milions de dispositius (al voltant de 88% dels dispositius Android que utilitzen Google Play tenen versions anteriors a 4.4.). Esta fallada permetria prendre el control de les apps instal·lades i les seues dades i inclús prendre el control del dispositiu sencer.

Risc: Alt

Segons els investigadors, un atacant podria firmar una aplicació maliciosa amb un certificat que apareix subscrit pel certificat d’Adobe (no modificable), però que en realitat no ho és.

Sempre que el certificat d’Adobe estiga present en la cadena de certificats de l’aplicació, el sistema prendrà el codi de l’aplicació i l'injectarà en altres aplicacions instal·lades. El codi injectat essencialment es convertix en part de les altres aplicacions, i n’hereta els permisos. Així, tindria accés a tots les dades emmagatzemades per eixes aplicacions, comunicacions de xarxa o realitzar totes les accions autoritzades per a l’aplicació en el dispositiu.

A més del certificat d’Adobe, també es podria explotar este error de seguretat amb el certificat per a la tecnologia d’administració de dispositius mòbils desenrotllada per una companyia 3LM, utilitzada per importants fabricants com ara Sony, HTC, Motorola, Samsung i LG en alguns dels seus models.

De moment, no s’ha identificat cap campanya fraudulenta activa que estiga explotant este error, encara que no es descarta la seua utilització, per este motiu s’ha d’extremar les precaucions i seguir les recomanacions indicades en este avís.

Sistemes Afectats:

Aplicacions en dispositius Android amb versió anterior a 4.4 (KitKat) que utilitzen el component WebView que és una característica comunament utilitzada per les aplicacions per a mostrar contingut Web utilitzant el motor del navegador integrat en Android.

Referències:

None

Solució:

L’error de seguretat ja va ser reportat a l’abril i Google va traure un pegat genèric per als fabricants de dispositius la responsabilitat del qual és anar generant les actualitzacions necessàries. No obstant és possible que en alguns casos esta actualització tarde a arribar o inclús no aparega.

És per això que es recomana no instal·lar aplicacions fora de Google Play i seguir les següents pautes a l’hora d’instal·lar aquelles que sí que estiguen en el Market d’Android:

D’altra banda, també es recomana actualitzar el dispositiu amb els pegats disponibles pel fabricant i comprovar l’estat del seu dispositiu seguint els passos següents:

Així mateix, es recomana fer ús d’una ferramenta especialitzada com CONAN mobile, a fi d’afegir una protecció addicional de seguretat al dispositiu mòbil.

Notes: None
Font: Oficina de Seguridad del Internauta

CSIRT-CV