Una falla de XFO (X-Frame-Options) en la tienda de Google Play permite la ejecución remota de código

Una vulnerabilidad en la aplicación de la tienda de Google Play ha dejado a los usuarios de Android vulnerables al malware.

La falla de XFO, también conocida como X-Frame-Options, cuando se combina con un reciente error de Android WebView (Jelly Bean), crea un medio para que los hackers instalen silenciosamente cualquier aplicación de la tienda de Google Play.

Joe Vennix de Rapid7 identificó la vulnerabilidad XFO de la tienda Play y la firma Metasploit hizo pública la cuestión el martes con la publicación de un aviso, acompañado de un módulo de Metasploit que ayuda a los expertos en seguridad empresarial a probar los teléfonos inteligentes emitidos por la empresa para detectar la exposición a la vulnerabilidad XFO.

El gerente de ingeniería de Rapid7, Tod Beardsley, de la firma que está detrás de la herramienta de pruebas de penetración Metasploit, explicó que muchos dispositivos que ejecutan instalaciones de Android 4.3 (Jelly Bean) y anteriores vienen con navegadores que tienen exposiciones de UXSS [Universal Cross-site Scripting].

Beardsley afirma,

“Los usuarios de estas plataformas también pueden haber instalado navegadores de terceros vulnerables. Hasta que se mitigue la brecha XFO [X-Frame-Options] de la tienda de Google Play, los usuarios de estas aplicaciones web que habitualmente inician sesión en su cuenta de Google seguirán siendo vulnerables.”

Beardsley continúa explicando que la ejecución remota de código se logra aprovechando dos vulnerabilidades en los dispositivos Android afectados. Al detallar más sobre el módulo de Metasploit,

“Primero, el módulo explota una vulnerabilidad de Universal Cross-Site Scripting (UXSS) presente en versiones del navegador de código abierto de Android (el navegador AOSP) así como en algunos otros navegadores, anteriores a 4.4 (KitKat). En segundo lugar, la interfaz web de la tienda de Google Play no aplica un encabezado X-Frame-Options: DENY en algunas páginas de error y, por lo tanto, puede ser objetivo de inyección de scripts. Como resultado, esto conduce a la ejecución remota de código a través de la función de instalación remota de Google Play, ya que cualquier aplicación disponible en la tienda de Google Play puede ser instalada y lanzada en el dispositivo del usuario.”

Por lo tanto, usar un navegador como Google Chrome o Mozilla Firefox, que no son susceptibles a vulnerabilidades de UXSS ampliamente conocidas y no iniciar sesión en la tienda de Google Play, puede ayudar a mitigar y evitar esta vulnerabilidad.