Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
31 de Julio, 2014    General

Una nueva vulnerabilidad en Android facilita la instalación de malware

Un fallo de diseño de Android podría permitir la instalación de cualquier aplicación sin necesidad de que el usuario de permisos especiales durante su instalación.

El problema, descubierto por la firma BlueBox Security, recibe el nombre de "Fake ID" debido a que permite al malware pasar credenciales falsas a Android, que falla al verificar cadenas de certificados de claves públicas de la firma criptográfica de la aplicación. En su lugar, Android otorga a la aplicación maliciosa todos los permisos de acceso de cualquier aplicación legítima.

Las aplicaciones Android deben estar firmadas para poder ser instaladas en el sistema, pero el certificado digital empleado para firmar no necesita estar emitido por una autoridad certificadora. Según la propia documentación de Android "es perfectamente admisible, y típico, que las aplicaciones Android usen certificados autofirmados".

Sin embargo, Android incluye incrustados en su código los certificados de diversos desarrolladores, para que las aplicaciones de estos desarrolladores tengan accesos y permisos especiales dentro del sistema operativo. Uno de estos certificados pertenece a Adobe, y permite a las aplicaciones firmadas o los certificados emitidos por ella inyectar código en otras aplicaciones Android. Este comportamiento puede deberse a que de esta forma se puede permitir a otras aplicaciones hacer uso del plug-in de Flash Player.

Sin embargo, un fallo en el proceso de validación de la cadena de certificados podría permitir a un atacante firmar una aplicación maliciosa con un certificado que parezca estar firmado por el certificado de Adobe incrustado, aunque no sea así. Siempre que el certificado de Adobe esté presente en la cadena de certificados de la aplicación, el sistema podrá tomar código de la aplicación e inyectarlo en otras aplicaciones instaladas. El código inyectado pasará a ser parte de las aplicaciones receptoras, heredando sus permisos, y con el mismo acceso a todos los datos de dichas aplicaciones.

El ataque afecta a las versiones de Android anteriores a la 4.4 (KitKat) y solo puede ser empleado sobre aplicaciones que usen el componente WebView, que se emplea para mostrar contenido web con el motor del navegador de Android.

BlueBox ha confirmado que notificó el problema a Google hace tres meses, y que se presentarán todos los detalles en una conferencia en la BlackHat USA 2014.

Google, por otra parte, ha confirmado que ya ha tomado medidas. Hace ya tiempo que dentro de Play Services se añadieron características y APIs que no requieren una actualización del firmware, por lo que para Google es un buen punto para evitar vulnerabilidades de este tipo. También se añadió la característica "Verificar aplicaciones" a Google Play Services como forma de escanear la aplicación antes de ser instalada. Google ha actualizado esta característica para comprobar que las aplicaciones no hacen uso de "Fake ID".

Más información:

Signing Your Applications

Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk

'Fake ID' and Android security [Updated]



Antonio Ropero
Twitter: @aropero
Palabras claves ,
publicado por alonsoclaudio a las 09:24 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad