27 may. 2017

Todos los dispositivos Android vulnerables a través de la manipulación de permisos

Investigadores un nuevo ataque, llamado "Cloak and Dagger" [PDF], que funciona contra todas las versiones de Android, hasta la versión 7.1.2.
Este ataque permite a los delincuentes tomar el control total del dispositivo y robar datos privados, incluyendo pulsaciones de teclas, chats, PIN de dispositivo, contraseñas de cuenta en línea, contraseña de OTP y contactos.

El ataque no explota ninguna vulnerabilidad en el ecosistema de Android; en su lugar, abusa de un par de permisos legítimos de aplicaciones populares para acceder a determinadas funciones en un dispositivo Android.
  • SYSTEM_ALERT_WINDOW ("draw on top")
  • BIND_ACCESSIBILITY_SERVICE ("a11y")
Los investigadores realizaron con éxito pruebas en 20 personas y ninguna de ellas fue capaz de detectar ninguna actividad maliciosa.

El primer permiso, conocido como "draw on top", es una función de superposición que permite que las aplicaciones se superpongan en la pantalla de un dispositivo y en la parte superior de otras aplicaciones.

El segundo permiso, conocido como "a11y", está diseñado para ayudar a los usuarios con discapacidades visuales, permitiéndoles ingresar comandos de voz o escuchar el contenido usando la función de lector de pantalla.

Es un hecho conocido que los mecanismos de seguridad utilizados por Google no son suficientes y, dado que el ataque no requiere ningún código malicioso para realizar las tareas de troyanización, resulta fácil desarrollar y enviar una aplicación malintencionada a Google Play sin detección.

Esto es lo que los investigadores hicieron: "Hemos enviado una aplicación que requiere estos dos permisos y que contiene una funcionalidad que descarga y ejecuta código arbitrario (tratando de simular un comportamiento claramente malicioso). Esta aplicación se aprobó después de unas pocas horas (y todavía está disponible En la Google Play Store)".

Una vez instalados, los investigadores dicen que el atacante puede realizar diversas actividades maliciosas incluyendo:
  • Ataques de clickjacking
  • Grabación de teclas sin restricciones
  • Ataque de phishing furtivo
  • Instalación silenciosa de una aplicación en "modo Dios" (con todos los permisos habilitados)
  • Desbloqueo silencioso del teléfono y acciones arbitrarias (manteniendo la pantalla apagada)
En resumen, los atacantes pueden tomar control secretamente del dispositivo Android y espiar cada actividad que se realice en el teléfono. Los investigadores también han proporcionado varias demostraciones de vídeo.

Google no puede solucionarlo, al menos no tan rápido

Los investigadores han revelado este nuevo vector de ataque a Google, pero puesto que el problema reside en la forma en que se ha diseñado el sistema operativo Android, con dos características estándar que se comportan como se pretendía, el problema podría ser difícil de resolver.

Google otorga el permiso "SYSTEM_ALERT_WINDOW" a todas las aplicaciones instaladas directamente desde la tienda oficial de Google Play desde Android Marshmallow (versión 6), lanzada en octubre de 2015.

Esta característica, que permite a las aplicaciones maliciosas secuestrar la pantalla de un dispositivo, es uno de los métodos más utilizados por los ciberdelincuentes para engañar a los usuarios de Android.

Sin embargo, Google ha planeado cambiar su política en Android O, que está programado para su lanzamiento en el tercer trimestre de este año.

Mitigación Temporal

La forma más sencilla de deshabilitar los ataques de Cloak y Dagger en Android 7.1.2 es desactivar el permiso de "dibujar en la parte superior" dirigiéndose a:

Configuración → Aplicaciones → Símbolo de equipo → Acceso especial → Dibujar sobre otras aplicaciones.

También se recomienda que compruebe los permisos de las aplicaciones antes de instalarlas.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!