Android 4.3 Jelly Bean y versiones anteriores sufriendo de una grave vulnerabilidad de ejecución de código

Lo más probable es que si no estás utilizando un teléfono inteligente o tableta Android de alta gama de una empresa importante como Google Motorola, Samsung, HTC o LG, entonces estás usando un teléfono inteligente con la versión Android 4.3 Jelly Bean. Y si estás usando un teléfono inteligente o tableta que ejecuta Android 4.3 Jelly Bean o una versión anterior, tú, o más bien tu teléfono inteligente/tableta, es vulnerable a una grave vulnerabilidad de ejecución de código. Esta vulnerabilidad fue descubierta por el equipo de seguridad de aplicaciones de IBM, hace nueve meses. Esta vulnerabilidad ha sido corregida en la última versión de Android de Google, la versión 4.4 KitKat, pero Android 4.3 y versiones anteriores de Android siguen siendo altamente vulnerables.

Según los últimos datos disponibles, solo el 13.6 % de los usuarios de Android tienen KitKat en su teléfono inteligente o tableta. Lo que significa que alrededor del 86.4 % de los teléfonos inteligentes y tabletas Android son vulnerables a esta vulnerabilidad de alto riesgo.

• *

Los investigadores de seguridad de IBM descubrieron que la vulnerabilidad de desbordamiento de búfer de pila reside en el servicio de almacenamiento KeyStore de Android, que es responsable de almacenar y asegurar las claves criptográficas del dispositivo.

“Un búfer de pila es creado por el método ‘KeyStore::getKeyForName’” “Esta función tiene varios llamadores, que son accesibles por aplicaciones externas utilizando la interfaz Binder (por ejemplo, ‘android::KeyStoreProxy::get’). Por lo tanto, la variable ‘keyName’ puede ser controlada con un tamaño arbitrario por una aplicación maliciosa,” dijo Hay. “La rutina ‘encode_key’ que es llamada por ‘encode_key_for_uid’ puede desbordar el búfer ‘filename’, ya que la verificación de límites está ausente.” explicaron los expertos

Cualquiera con conocimiento de programación de la API de Android puede explotar con éxito esta vulnerabilidad. Una vez explotada, el hacker puede ejecutar un código malicioso bajo el proceso de keystore. Una vez ejecutado, dicho código puede llevar a una grave filtración de las credenciales de bloqueo del dispositivo. Dado que la clave maestra se deriva de las credenciales de bloqueo, cada vez que el dispositivo se desbloquea, se llama a ‘Android::KeyStoreProxy::password’ con las credenciales.

También puede filtrar claves maestras desencriptadas, datos e identificadores de claves respaldadas por hardware de la memoria y claves maestras encriptadas, datos e identificadores de claves respaldadas por hardware del disco para un ataque fuera de línea. Los hackers también pueden interactuar de forma remota con el almacenamiento respaldado por hardware y realizar operaciones criptográficas (por ejemplo, firma de datos arbitrarios) en nombre del usuario.

• *

Un potencial hacker wannabe puede teóricamente explotar la vulnerabilidad anterior que existe en todos los dispositivos Android anteriores a Android 4.4 KitKat, pero los expertos creen que la explotación es bastante difícil de ejecutar debido a la presencia de numerosas dificultades como la necesidad de eludir las protecciones basadas en memoria nativas del sistema operativo, incluyendo la Prevención de Ejecución de Datos (DEP) y la Aleatorización del Diseño del Espacio de Direcciones (ASLR). La Prevención de Ejecución de Datos es una mitigación de explotación que se utiliza para prevenir la ejecución de código malicioso, pero los atacantes han tenido éxito en eludirla utilizando ataques de Programación Orientada a Retornos (ROP). La ASLR se utiliza para mitigar ataques de desbordamiento de búfer aleatorizando las ubicaciones de memoria utilizadas por archivos del sistema y otros programas, implementando esta técnica es difícil adivinar la ubicación de un proceso dado.

• *

“Sin embargo, el Android KeyStore se reinicia cada vez que termina. Este comportamiento permite un enfoque probabilístico; además, el atacante incluso puede teóricamente abusar de ASLR para derrotar la codificación” afirma la publicación.

• *

Los expertos confirmaron que no han visto que la falla sea explotada en la naturaleza aún.