Vídeo: Guia de la prova ACTIC 2018 (Setembre 2024)
Una de les millors coses dels sistemes operatius mòbils és la caixa de sorra. Aquesta tècnica compartimenta les aplicacions, evitant que les aplicacions arriscades (o qualsevol aplicació) tinguin accés gratuït a la vostra disposició Android. Però una nova vulnerabilitat podria significar que la caixa de sorra d’Android no sigui tan forta com pensàvem.
Què es?
A Black Hat, Jeff Forristal va demostrar com un defecte en la manera en què Android gestiona els certificats es pot utilitzar per escapar de la caixa de sorra. Fins i tot es podria fer servir per donar a les aplicacions malicioses nivells més elevats de privilegi, tot sense donar a les víctimes una idea del que passa al seu telèfon. Forristal va dir que aquesta vulnerabilitat es podria utilitzar per robar dades, contrasenyes i, fins i tot, controlar-se de diverses aplicacions.
Al centre de l’emissió hi ha els certificats, que bàsicament són documents criptogràfics poc destinats a garantir que una aplicació sigui el que afirma ser. Forristal ha explicat que és la mateixa tecnologia que utilitzen els llocs web per garantir l'autenticitat. Però, segons sembla, Android, no examina les relacions criptogràfiques entre certificats. Aquest defecte, va dir Forristal, és "bastant fonamental per al sistema de seguretat d'Android".
Què fa
En la seva demostració, Forristal va utilitzar una actualització falsa de Google Services que contenia codi maliciós mitjançant una de les vulnerabilitats de l'identificador fals. Quan la víctima va instal·lar l’aplicació, veu que l’aplicació no requereix cap permís i sembla legítima. Android porta a terme la instal·lació i tot sembla estar bé.
Però, en segon pla, l’aplicació de Forristal ha utilitzat una vulnerabilitat d’identificació falsa per injectar automàticament i immediatament codi maliciós a altres aplicacions del dispositiu. Concretament, un certificat Adobe per actualitzar Flash la informació de la qual es va codificar a Android. En uns segons, tenia el control de cinc aplicacions al dispositiu, algunes de les quals tenien un accés profund al dispositiu de la víctima.
No és la primera vegada que Forristal ha fet malestar amb Android. Al 2013, Forristal va posar en marxa la comunitat d'Android quan va donar a conèixer l'anomenada explotació de la clau principal. Aquesta vulnerabilitat d’ampli abast feia que les aplicacions falses es poguessin disfressar de legítimes, cosa que podria donar a les aplicacions malicioses un passatge gratuït.
Comproveu l'identificador
La preocupació de Forristal no només ens va donar les notícies obertes sobre Android, sinó que també ens va oferir una eina per protegir els oursevles. Forristal va llançar una eina d’exploració gratuïta per detectar aquesta vulnerabilitat. Per descomptat, això encara significa que les persones hauran d’evitar que el programari maliciós es posi al telèfon.
L'error també s'ha informat a Google i, aparentment, els pedaços estan sortint a diferents nivells.
Més important encara, l’atac sencer depèn de la víctima que instal·la l’aplicació. És cert que no té la bandera vermella de demanar molts permisos, però Forristal va dir que si els usuaris eviten les aplicacions de "llocs ombrívols" (llegiu: fora de Google Play) estaran segurs. Almenys, de moment.
