AppsGeyser permite crear apps potencialmente vulnerables en Google Play

AppsGeyser es un servicio que facilita la creación de apps de Android "a golpe de clic", basadas en un contenido web. Literalmente, permite crear programas en tres pasos, de la forma más sencilla, y así llevar a una app la experiencia web de una página. Este tipo de aplicaciones introducen riesgos de los que ya hemos hablado, pues el programador no controla el código que se inyecta, y puede desencadenar en efectos no deseados en la seguridad del usuario.

En este caso, AppsGeyser ha introducido deliberadamente una función que desactiva la comprobación de la validez de certificados SSL en todas las aplicaciones creadas desde su plataforma. Esto quiere decir que cualquier navegación realizada desde una aplicación creada con AppsGeyser, puede ser interceptada, redirigida, falseada... En ningún momento se validará el certificado del servidor remoto.

Para que el ataque tenga éxito, el atacante solo tiene que encontrarse en la misma red local que la víctima. Acceder a su tráfico a través de cualquier técnica (ARP Spoofing, tener el control de un proxy, del gateway...) y observar el tráfico generado desde las apps creadas con AppsGeyser. Si un usuario de una app de este tipo visita una web HTTPS, el atacante solo tendría que introducir su propia página firmada con cualquier certificado, y la víctima no notaría nada extraño. Sería el phishing perfecto. O situarse en medio de la navegación entre una web segura y la víctima. Aun así, si no visita ninguna página explícitamente con HTTPS, podría redirigirla. Por ejemplo, si una app de AppsGeyser visita una página de publicidad, el atacante podría redirigirle a una supuesta página de Facebook, Twitter, etc. y preguntar por las credenciales en cualquier momento.

Contenido completo en fuente original ElevenPath