Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/07/2013
Descobrixen una altra vulnerabilitat que afecta Android
Una empresa de seguretat xinesa ha descobert una altra vulnerabilitat semblant a la que recentment ha amenaçat la quasi totalitat dels dispositius Android.
P { margin-bottom: 0.21cm; direction: ltr; color: rgb(0, 0, 0); }P.western { font-family: "Times New Roman",serif; font-size: 12pt; }P.cjk { font-family: "Times New Roman",serif; font-size: 12pt; }P.ctl { font-family: "Times New Roman",serif; font-size: 12pt; }A.western:link { }
La vulnerabilitat és diferent de la que van descobrir els investigadors de la firma BlueBox Security anunciada la setmana passada. Això sí, ambdós vulnerabilitats permeten els hackers injectar un codi maliciós en “paquets d’aplicacions d’Android amb firma digital, conegudes com APK, sense que calga desbloquejar les firmes.
Cal assenyalar que Android registra la firma digital de l’aplicació la primera vegada que s’instal·la. A més es crea una “sandbox”. Totes les actualitzacions posteriors d’eixa aplicació han de ser firmades criptogràficament pel mateix desenrotllador amb l’objectiu que puga verificar-se que no han sigut manipulades.
Si un hacker és capaç de modificar la firma d’estes aplicacions legítimes significa que pot enganyar els usuaris perquè instal·len actualitzacions falses per a aplicacions que ja estan en els seus dispositius Android. Si açò ocorre, el hacker podrà accedir a totes les dades potencialment sensibles que estiguen emmagatzemades en les apps. A més, si estes són especifiques del sistema, com aquelles que han sigut preinstal·lades pels fabricants dels dispositius, podrien ser executades amb privilegis de sistema.
“És una forma diferent d’aproximació per a aconseguir el mateix objectiu que la vulnerabilitat descoberta” la setmana passada, ha assegurat Pau Oliva Fora, enginyer de seguretat mòbil en ViaForensics.
La nova vulnerabilitat permet els atacants injectar codi en arxius particulars que hi ha en APK, específicament en les seues capçaleres, d’una manera que no cal que passen pel procés de verificació de la firma, ha assegurat Pau Oliva Fora. Els arxius que poden ser modificats es denominen classes.dex. Perquè l’atac tinga èxit, la grandària dels arxius específics ha d’estar per baix de 64KB.
Segons paraules de Jeff Forristal, director de tecnologia de Bluebox Security, la vulnerabilitat descrita en el blog xinés és plausible, creïble i té el mateix impacte que la vulnerabilitat d’Android “masterkey” descoberta per la firma. No obstant això, “Bluebox té coneixement d’un mètode lleugerament diferent, més ampli i amb menys limitacions tècniques que les que es relaten en eixe blog”. Este ja ha sigut posat en coneixement de Google que ja ha llançat un pegat per a resoldre els problemes que puga causar.