Vulnerabilidad en Android, permite determinar geoposición del usuario
Nightwatch Cybersecurity, ha detectado un bug (CVE-2018-9489) que afecta a todas las versiones de Android (excepto a Android 9.0 Pie), forks incluidos (por ej. Fire OS de Amazon), que permite gelocalizar a los usuarios. La vulnerabilidad, detectada en la "forma en la que Android transmite la información del dispositivo a las aplicaciones instaladas en el mismo", expone la dirección MAC, BSSID, IP local e información del DNS, lo que permitiría a una app maliciosa descubrir la ubicación real del usuario.
Según recogen los chicos de la consultora, parte de esta información (como la dirección MAC) ya no está disponible a través del API en Android 6.0 Marhsmallow y superior, y normalmente se requieren permisos adicionales para acceder a ella. Sin embargo, al escuchar estas transmisiones, cualquier aplicación en el dispositivo puede capturar estos datos, evitando así cualquier control de permisos y restricciones existentes.
En pocas palabras, dado que la dirección MAC no cambia y está vinculada al dispositivo, se puede usar para identificar y rastrear el dispositivo cruzándola con el nombre de la red y el base de datos BSSID como WiGLE o SkyHook.. Tal y como dice el investigador de la firma, Yakov Shafranovich, "las aplicaciones maliciosas pueden usar esta información de red para explorar y atacar la red WiFi local" para, por ejemplo, rastrear las webs que visitas. A partir de Android Marhsmallow, la dirección MAC del dispositivo se randomiza, aunque esta vulnerabilidad permite saltarse esta medida de seguridad.
Para empezar, información como el nombre de la red o el BSSID (que suele ser la MAC del punto de acceso) se puede cruzar con una base de datos como WiGLE para conocer la localización del punto de acceso y por tanto la localización del usuario. Esto no está bien porque el usuario no ha dado permiso en ningún momento para que una aplicación pueda obtener su localización. E información como el rango IP de la red, la IP de la puerta de enlace o los servidores DNS usados proporcionan información de la estructura de la red local, que puede facilitar la vida a un atacante.
Se puede replicar esto de la siguiente manera:
De acuerdo a Nightwatch Security, Google ha implementado un parche para esta vulnerabilidad en Android 9.0 Pie, "pero no planea reparar versiones anteriores". De esa forma, la firma anima a todos los usuarios a actualizar a Android Pie en cuanto esté disponible, pero todos sabemos que las actualizaciones en Android son muy lentas y que pueden pasar meses hasta que un terminal reciba su ración de Pie.
Fuente: Nightwatch Security | Duo
Según recogen los chicos de la consultora, parte de esta información (como la dirección MAC) ya no está disponible a través del API en Android 6.0 Marhsmallow y superior, y normalmente se requieren permisos adicionales para acceder a ella. Sin embargo, al escuchar estas transmisiones, cualquier aplicación en el dispositivo puede capturar estos datos, evitando así cualquier control de permisos y restricciones existentes.
En pocas palabras, dado que la dirección MAC no cambia y está vinculada al dispositivo, se puede usar para identificar y rastrear el dispositivo cruzándola con el nombre de la red y el base de datos BSSID como WiGLE o SkyHook.. Tal y como dice el investigador de la firma, Yakov Shafranovich, "las aplicaciones maliciosas pueden usar esta información de red para explorar y atacar la red WiFi local" para, por ejemplo, rastrear las webs que visitas. A partir de Android Marhsmallow, la dirección MAC del dispositivo se randomiza, aunque esta vulnerabilidad permite saltarse esta medida de seguridad.
Para empezar, información como el nombre de la red o el BSSID (que suele ser la MAC del punto de acceso) se puede cruzar con una base de datos como WiGLE para conocer la localización del punto de acceso y por tanto la localización del usuario. Esto no está bien porque el usuario no ha dado permiso en ningún momento para que una aplicación pueda obtener su localización. E información como el rango IP de la red, la IP de la puerta de enlace o los servidores DNS usados proporcionan información de la estructura de la red local, que puede facilitar la vida a un atacante.
Se puede replicar esto de la siguiente manera:
- Instalar la aplicación Internal Broadcasts Monitor application desarrollada por Vilius Kraujutis
- Abrir la aplicación y monitorear broadcasts.
- Observar sistemas broadcasts, específicamente android.net.wifi.STATE_CHANGE y android.net.wifi.p2p.THIS_DEVICE_CHANGED.
Fuente: Nightwatch Security | Duo
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!