Daniel Divricean ha descubierto un fallo interesante en Android, que permitía la instalación de cualquier aplicación (con cualquier permiso) en cualquier dispositivo de un mismo usuario sin que se diera consentimiento explícito. El fallo fue descubierto en diciembre y ha sido corregido ahora.
La prueba de concepto construida por Divricean consistiría en crear una
aplicación (que sería considerado como el "troyano") con permisos en
principio inocuos o poco entendidos, como:
- android.permission.INTERNET: Permiso para acceder a la red. Algo muy habitual.
- android.permission.GET_ACCOUNTS: Permiso para acceder a la lista de cuentas. Muy usado, y poco entendido por los usuarios en general.
- android.permission.USE_CREDENTIALS: Permite a las apps utilizar los tokens de autenticación del AccountManager.
Esta aplicación, crearía un WebView, que no es más que una ventana a una
web. Se presentaría con la cuenta de Google del usuario gracias a los
tokens recogidos con el permiso correspondiente. Esto sería transparente
para el usuario. Esta web cargaría el Google Play e inyectaría
JavaScript en la página. Con este código obtendría información del
dispositivo y los tokens CSRF, además de la lista de otros dispositivos
(si el usuario estuviera presentado en ellos con la misma cuenta). Desde
aquí, podría requerir que se instalara cualquier aplicación de Google Play en el dispositivo o en otros bajo la misma cuenta. El usuario no podría detenerlo, y no se le preguntaría confirmación alguna.
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!