29 dic. 2014

Usuarios de facebook víctimas de exploit para Android

Se ha descubierto que una vulnerabilidad de seguridad en el navegador web por defecto del sistema operativo Android inferior a 4.4 (corriendo en un gran número de dispositivos Android) permite a un atacante eludir la Same Origin Policy (SOP) para atacar a usuarios de Facebook.

Rafay Baloc ya había reportado en septiembre pasado esta vulnerabilidad en la política de mismo origen en Android inferiores a 4.4 (CVE-2014-6041). Él encontró que AOSP (Android Open Source Platform) instalado en Android 4.2.1 era vulnerable a a un error en la política de mismo origen y permitía que un sitio web pueda robar datos de otro.

Ahora, los investigadores de TrendMicro, en colaboración con Facebook, han descubierto muchos casos de usuarios de Facebook siendo blanco de ataques que intentan aprovechar esta falla porque el código de explotación está disponible públicamente en Metasploit.

La política del mismo origen es uno de los principios rectores que buscan proteger la experiencia de navegación de los usuarios. SOP está diseñado para evitar la carga de código que no es parte de los propios recursos de un sitio web, asegurando que ningún tercero puede inyectar código, sin la autorización del titular del sitio.

Desafortunadamente, SOP ha sido víctima de vulnerabilidades de Cross-site Scripting en versiones anteriores de Android, que ayudan a los atacantes para inyectar archivos Javascript maliciosos en el sitio de la víctima.

Si se utiliza Android inferior a 4.4, en este ataque en particular se utiliza un script ofuscado que carga un marco interno de Facebook. El usuario sólo verá un HTML en blanco y un pixel pero en realidad el script está aprovechando la vulnerabilidad de SOP y accediendo a información sensible del usuario.
El código permite realizar diversas tareas en la cuenta de Facebook de la víctima:
  • Añadir amigos
  • Marcar "Me gusta" y seguir cualquier página de Facebook
  • Modificar las suscripciones
  • Autorizar aplicaciones de Facebook para acceder al perfil del usuario, su lista de amigos, cumpleaños información, gustos...
  • Robar tokens de acceso de la víctima.
  • Recopilar datos analíticos (como la ubicación de las víctimas, HTTP Referer, etc.) usando el servicio legítimo.
Los investigadores han observado que los delincuentes detrás de esta campaña se basan en una aplicación de BlackBerry oficial mantenida por BlackBerry para robar los tokens de acceso y así hackear cuentas de Facebook. Usando el nombre de un desarrollador de confianza como BlackBerry, el atacante se asegura de no llamar la atención.

Trend Micro está trabajando junto con Facebook y BlackBerry en un intento de detectar el ataque e impedir que sea llevado a cabo contra los nuevos usuarios de Android.

Todos los dispositivos Android inferiores a 4.4 (KitKat) son vulnerables a esta vulnerabilidad SOP y si bien Google publicó un parche en septiembre, millones de usuarios aún son vulnerables al ataque porque Google no fuerza la actualización a sus clientes o bien el dispositivo no admite una versión más reciente del sistema operativo.

La vulnerabilidad de SOP reside en el navegador de los dispositivos Android, que no se puede desinstalar porque generalmente es parte de la función de sistema operativo. Para protegerse se debe desactivar el navegador de los dispositivos Android: ir a ajustes > Apps > todos, buscar el icono del navegador y desactivarlo.

Fuente: The Hacker News y TrendMicro

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!