Parece que vamos a necesitar una nueva ronda de actualizaciones de seguridad
después de Stagefright, porque tenemos un nuevo exploit, capaz de
hacer que una aplicación tenga más permisos de los que debería tener en un
principio.
Últimamente estamos hablando mucho de seguridad en Android, dado que en
estas últimas semanas se están descubriendo un montón de agujeros de seguridad.
El más importante de todos ha sido Stagefright, y el que ha hecho que los fabricantes
se muevan de una vez para que Android comience a ser seguro, pero la cosa no
ha terminado aquí, porque ya tenemos nuevas vulnerabilidades sacadas a la luz.
Hoy nos toca hablar del trabajo que han hecho dos investigadores -Or Peles y Roee
Hay- del equipo de seguridad de IBM, plasmado en un informe llamado
“una clase para dominarlas a todas” en una conferencia de seguridad en EEUU.
En este trabajo han demostrado cómo una vulnerabilidad que ellos mismos
descubrieron en su momento, con el nombre oficial CVE-2014-3153, se puede
utilizar en la vida real, y que demuestra su peligrosidad si un atacante la explota.
El exploit que permite sustituir las aplicaciones que
instalamos
Esta vulnerabilidad, según podemos leer en HackRead, permite que un atacante
obtenga permisos superiores a los de una aplicación común, como los permisos
que tiene un usuario a la hora de manejar su Android, con algo de código de un tamaño
mínimo insertado en la aplicación. Con ese código pueden elevar los permisos
de la aplicación, y conseguir los mismos que tenga el usuario. El atacante sólo
tendría que meter ese código en la aplicación, sin ni siquiera pedirnos permisos, y
subirlo a Google Play como una aplicación o juego más.
De buenas a primeras no parece mucho que una aplicación tenga los mismos permisos
que nosotros, pero en realidad es muy peligroso: un atacante sería capaz de
instalar cualquier tipo de aplicación en nuestro Android sin nuestro
consentimiento, desde publicidad variada hasta aplicaciones de seguimiento, o
reemplazar las aplicaciones que usamos todos los días con una que sea similar y
maliciosa. Y la cosa puede volverse peor aún, porque, por el sistema de permisos
de Android, esos privilegios en el sistema podrían ir aumentando, y darnos un dolor de
cabeza mayor.
Según el mismo estudio, todos los Android que estén entre Android 4.3 Jelly Bean y
Android 5.1 Lollipop estarían afectados por CVE-2014-3153, incluyendo Android M
en sus Developer Preview. Algo más de la mitad de Android en todo el mundo están
afectados, un 55% aproximado. Y, en el vídeo que tenéis justo arriba, estos
mismos investigadores hacen un resumen estupendo de cómo funciona la vulnerabilidad:
no da ninguna señal de cara al usuario, pasa desapercibido, y puede hacer de las
suyas sin que nos demos cuenta.
IBM se ha asegurado de desvelar esta vulnerabilidad como es debido, y Google ya ha
lanzado parches para arreglar este agujero de seguridad. Esperemos que venga
incluido en esas actualizaciones mensuales que muchos fabricantes nos han
prometido, y que pronto pase a ser algo del pasado.
No hay comentarios.:
Publicar un comentario