Se
han anunciado dos nuevas vulnerabilidades en sistemas Android (anteriores a la
versión 4.4.4) que podría permitir a una
aplicación maliciosa realizar llamadas a números de tarificación especial sin
que el usuario se percate de ello y aun sin permisos para ello.
Las dos
vulnerabilidades, muy
similares entre sí, han sido anunciadas por Curesec.
El primero de los problemas,
con CVE-2013-6272, aparece en Android 4.1.1 Jelly Bean y se presenta en todas
las versiones hasta Android 4.4.2 KitKat. Reside en com.
android.phone y todo
parece indicar que se ha corregido en la última versión 4.4.4.
Por otra parte,
una segunda vulnerabilidad
(sin CVE asignado todavía) en com.android.contacts solo está presente en las
versiones Android 2.3.3 y 2.3.6. Ambas
vulnerabilidades son explotables de la misma
forma con idénticos resultados.
Los dos problemas podrían permitir a una aplicación maliciosa
evitar los permisos de Android y permitir la realización de llamadas telefónicas
o enviar códigos USSD (Unstructured Supplementary Service Data). Los códigos
USSD, son códigos específicos de las operadoras que permiten el desvío de
llamadas, bloquear tarjetas SIM, cambiar opciones de anonimato de llamada, etc.
Las acciones maliciosas se
realizarían sin autorización, intervención ni conocimiento del usuario. Y podrían
permitir que una aplicación realice
llamadas a cualquier número de teléfono (incluidos los de tarificación
especial). Esto podría llevar a que el usuario se encuentre con la consiguiente
sobrecarga en su factura telefónica.
Se puede saber que versión de
Android tiene un dispositivo se puede consultar el menú Ajustes/Acerca del teléfono/Versión
de Android.
Curesec ha publicado una aplicación como prueba de concepto que
puede permitir a un usuario comprobar si su dispositivo es vulnerable.
Más información:
CVE-2013-6272 com.android.phone
CVE-2014-N/A com.android.contacts
Antonio Ropero