Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
25/08/2014
Hackejar Gmail té un 92% de probabilitats d'èxit
Una vulnerabilitat en els sistemes operatius mòbils Android, Windows Phone i iOS podria ser utilitzada per a obtindre informació personal.
Investigadors de les universitats de Califòrnia i Michigan han identificat una vulnerabilitat en els tres sistemes operatius mòbils -Windows Phone, iOS i Android-, que podria permetre a aplicacions malicioses obtindre informació personal de servicis com Gmail.
A pesar que el mètode per a explotar este forat es va posar a prova només en un telèfon Android, l’equip creu que podria ser utilitzat en els tres sistemes operatius mòbils. El motiu: els tres compartixen una característica semblant: totes les aplicacions poden accedir a la memòria compartida d’un dispositiu mòbil.
“La suposició ha sigut sempre que estes aplicacions no poden interferir entre si amb facilitat”, va declarar a CNET Zhiyun Qian, professor associat de la Universitat de Califòrnia en Riverside. “Demostrem que eixa suposició no és correcta i una aplicació pot, de fet, afectar significativament altres i resultar en conseqüència perjudicial per a l’usuari”.
Per a demostrar el mètode per a hackejar, primer l’usuari ha de descarregar una aplicació que apareix benigna, com un fons de pantalla, però que en realitat conté codi maliciós. Una vegada instal·lada, els investigadors poden utilitzar-la per a accedir a les estadístiques de memòria compartida de tot procés, quelcom que no requerix cap privilegi especial.
Analitzant els canvis en esta memòria compartida, es poden correlacionar els canvis en diverses activitats, com enviar i rebre correus a través de Gmail, sol·licitar devolució de taxes en H & R Block, o prendre una foto d’un xec per a depositar-ho en línia a través de Chase Bank. Estes són les tres aplicacions més vulnerables a l’atac, amb una taxa d’èxit del 82% al 92%.
El document, Peeking into Your App without Actually Seeing It: UI State Inference and Novell Android Attacks [PDF] va ser presentat el passat 23 d’agost en l’esdeveniment USENIX Security Symposium a San Diego i va ser presentat amb este vídeo.