Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/03/2015
Vulnerabilitat en dispositius Android
La vulnerabilitat podria instal·lar aplicacions malicioses sense coneixement de l’usuari.
Anomenada Android Installer Hijacking o segrest de l’instal·lador Android, esta vulnerabilitat permetria a un atacant reemplaçar una aplicació legítima amb programari maliciós, sense el coneixement de l’usuari i durant la instal·lació, per a fer-se amb el control del dispositiu. Afecta aplicacions descarregades des de fora de "Google Play".
Les versions afectades d’Android són les anteriors a la versió 4.3 i a algunes distribucions d’Android 4.3. Quasi un 50% de dispositius Android.
La fallada està en "Time of Check to Time of Use" (TOCTOU) en el "PackageInstaller", ja que es produïx un canvi entre el moment en què es realitza una comprovació ("Time of Check") i el moment en què s’usa ("Time of Use"). És a dir, "PackageInstaller" no verifica l’arxiu APK entre el moment en què es mostren a l’usuari els permisos necessaris i després d’acceptar la instal·lació. És llavors quan es podria reemplaçar l’aplicació que s’està instal·lant. Açò no pot passar en Play Store, ja que es tracta d’un espai protegit.
El descobridor, Palo Alto Networks, ha publicat un escàner per a comprovar si el teu dispositiu pot resultar afectat.
Recomanacions
S’aconsella descarregar aplicacions d’Android des del repositori oficial de Google.
L’Android Open Source Project (AOSP) de Google ha publicat pegats per a Android 4.3 i posteriors. L’actualització està disponible des de:
https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/2b3202c3ff18469b294629bf1416118f12492173
Més informació.