20 mar 2014

Error en Android permitía a una app instalar cualquier otra de forma transparente

Daniel Divricean ha descubierto un fallo interesante en Android, que permitía la instalación de cualquier aplicación (con cualquier permiso) en cualquier dispositivo de un mismo usuario sin que se diera consentimiento explícito. El fallo fue descubierto en diciembre y ha sido corregido ahora.
La prueba de concepto construida por Divricean consistiría en crear una aplicación (que sería considerado como el "troyano") con permisos en principio inocuos o poco entendidos, como:
  • android.permission.INTERNET: Permiso para acceder a la red. Algo muy habitual.
  • android.permission.GET_ACCOUNTS: Permiso para acceder a la lista de cuentas. Muy usado, y poco entendido por los usuarios en general.
  • android.permission.USE_CREDENTIALS: Permite a las apps utilizar los tokens de autenticación del AccountManager.
Esta aplicación, crearía un WebView, que no es más que una ventana a una web. Se presentaría con la cuenta de Google del usuario gracias a los tokens recogidos con el permiso correspondiente. Esto sería transparente para el usuario. Esta web cargaría el Google Play e inyectaría JavaScript en la página. Con este código obtendría información del dispositivo y los tokens CSRF, además de la lista de otros dispositivos (si el usuario estuviera presentado en ellos con la misma cuenta). Desde aquí, podría requerir que se instalara cualquier aplicación de Google Play en el dispositivo o en otros bajo la misma cuenta. El usuario no podría detenerlo, y no se le preguntaría confirmación alguna.
 

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!