Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/04/2014
Vulnerabilitat en Android facilita la realització d'atacs de phishing
Investigadors de FireEye han descobert una nova vulnerabilitat en Android que podria permetre a una aplicació maliciosa amb permisos normals modificar les icones de la pantalla principal d’Android i modificar-los perquè apunten a llocs web de pesca o a la pròpia aplicació maliciosa sense notificar-ho a l’usuari. Google ha reconegut el problema i ha alliberat un pedaç els seus socis OEM, encara que possiblement tarde a arribar als usuaris.
Android Open Source Project (AOSP) classifica els permisos en Android en diversos nivells: "normal", "dangerous", "system", "signature" i "development". Els permisos normals es concedixen automàticament en la instal·lació, sense demanar aprovació explícita de l’usuari (encara que l’usuari sempre pot revisar els permisos abans d’instal·lar).
En l’última versió d’Android 4.4.2 si una aplicació sol·licita tant permisos perillosos com permisos normals, el sistema només mostra els permisos perillosos. Si una aplicació només sol·licita permisos normals, Android no els mostra a l’usuari. No obstant això, FireEye ha descobert que determinats permisos de la categoria "normal" poden tindre impactes perillosos en la seguretat. Per mitjà de l’ús d’estos permisos una aplicació maliciosa pot modificar les icones de la pàgina principal de manera que llancen aplicacions o llocs web de pesca.
L’aplicació maliciosa abusa del conjunt de permisos:
"com.android.launcher.permission.COM.ANDROID.LAUNCHER.PERMISSION.READ_SETTINGS" i "com.android.launcher.permission.WRITE_SETTINGS".
Estos dos permisos permeten a una aplicació consultar, inserir, eliminar o modificar tots els ajustos de la configuració del "Launcher" (llançador), incloent la modificació i inserció d’icones. Estos dos permisos estan etiquetats com a "normal" des de la primera versió d’Android.
Com a prova de concepte van desenrotllar una aplicació que feia ús d’estos dos permisos per a modificar icones legítimes d’algunes aplicacions sensibles per a redirigir-les a altres llocs web. Amb el que van confirmar el problema en un Nexus 7 amb Android 4.4.2. Google Play no va evitar que l’aplicació fóra publicada i no es va mostrar cap avís a l’usuari en descarregar-la i instal·lar-la. Després de les proves, van eliminar tant les webs empleades com l’aplicació de Google Play. Pel que ningú ha pogut veure’s afectat.
FireEye també confirma que la vulnerabilitat no està limitada a dispositius Android que executen AOSP. També es veuen afectats altres dispositius amb Launchers no-AOSP incloent Nexus 7 amb CyanogenMod 4.4.2, Samsung Galaxy S4 amb Android 4.3 i HTC One amb Android 4.4.2.
Google ha reconegut la vulnerabilitat i ha distribuït un pedaç als seus socis OEM. No obstant això, tal com ja avisen en FireEye molts fabricants que fan ús d’Android són lents a l’hora d’adaptar les actualitzacions de seguretat. Igual que FireEye, ens unim a la petició que estos fabricants solucionen les vulnerabilitats de forma més eficient per a protegir els usuaris.