La explotación de la Política de Mismo Origen (SOP) de Android permite a los hackers secuestrar tus cuentas de Facebook

Table Of Contents

• La explotación de la Política de Mismo Origen (SOP) de Android se está utilizando para secuestrar cuentas de Facebook
• El error

La explotación de la Política de Mismo Origen (SOP) de Android se está utilizando para secuestrar cuentas de Facebook

Un error legado de la Política de Mismo Origen (SOP) de Android descubierto por el investigador paquistaní Rafay Baloch se está utilizando mucho más ampliamente según una nueva investigación publicada por TrendMicro Labs. El investigador de Trend Micro, Simon Huang, dice que han descubierto muchos casos de usuarios de Facebook siendo atacados por ataques que explotan esta falla en el navegador web del sistema operativo Android inferior a 4.4 porque el código de Metasploit está disponible públicamente y muchos fabricantes de Android aún no han parcheado este error.

El error

El error, descubierto por Rafay Baloch, permite una vulnerabilidad universal de Cross-scripting en versiones más antiguas de smartphones Android. Esta vulnerabilidad, que afecta al componente WebView, ocurre cuando se reemplaza el atributo ‘data’ de un objeto HTML dado con un esquema de URL de JavaScript. Un atacante puede aprovechar la falla UXSS para extraer datos de cookies y contenidos de página de una ventana de navegador vulnerable. El agujero de seguridad puede ser explotado en todas las versiones del navegador de la Plataforma de Código Abierto de Android (AOSP), incluidos aquellos que utilizan WebView.

Rapid7 ha publicado el código de Metasploit (enlace dado arriba) para esta falla y el mismo está siendo utilizado públicamente por atacantes para servir a las víctimas un archivo JavaScript malicioso almacenado en una cuenta de almacenamiento en la nube. Esto se hace dirigiendo al objetivo a una cierta página de Facebook que conduce a una ubicación maliciosa. El investigador de Trend, Huang, dice que la página contiene código JavaScript ofuscado que intenta cargar una URL de Facebook en un marco interno.

Sin embargo, la víctima solo ve una página en blanco cargándose según las etiquetas div establecidas por el atacante en HTML, mientras que el marco interno se mostrará en un píxel.

Huang dice que con el malware en su lugar, el atacante puede hacer casi cualquier cosa con la cuenta de Facebook de la víctima. El código JavaScript puede llevar a cabo las siguientes actividades con la cuenta de Facebook de las víctimas:

• Agregar amigos

• Dar me gusta y seguir páginas de Facebook

• Modificar suscripciones

• Autorizar una aplicación de Facebook para acceder al perfil público del usuario, lista de amigos, información de cumpleaños, gustos y gustos de amigos

• Robar los tokens de acceso de la víctima y subirlos a su servidor en https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;

• Recoger datos analíticos (como la ubicación de las víctimas, el referente HTTP, etc.) utilizando el servicio legítimo en https://whos.{BLOCKED}ung.us/pingjs/

• Además del código en el sitio anterior, Trend encontró un ataque similar en https://www.{BLOCKED}php.com/x/toplu.php. Los investigadores de Trend creen que ambos fueron creados por el mismo autor porque comparten varios nombres de funciones, así como el client_id de la aplicación de Facebook.

Los investigadores de Trend Micro encontraron que el client_id involucrado en este malware era “2254487659”. Esta es una aplicación oficial de BlackBerry mantenida por BlackBerry.

Trend Micro luego contactó a BlackBerry sobre sus hallazgos. Informaron a BlackBerry que los atacantes querían usar la confianza en el nombre de BlackBerry y que el malware estaba tratando de robar los tokens de acceso de los usuarios, que podrían usarse para hacer solicitudes a las API de Facebook y leer la información del usuario o publicar contenido en Facebook en nombre de la víctima. BlackBerry lanzó esta declaración después de que Trend los contactó:

“El malware móvil que utiliza la Explotación SOP de Android (Explotación de Bypass de la Política de Mismo Origen de Android) está diseñado para atacar a los usuarios de Facebook independientemente de su plataforma de dispositivo móvil. Sin embargo, intenta aprovechar la confianza en el nombre de marca de BlackBerry utilizando nuestra aplicación web de Facebook. BlackBerry está trabajando continuamente con Trend Micro y Facebook para detectar y mitigar este ataque. Tenga en cuenta que el problema no es el resultado de una explotación del hardware, software o red de BlackBerry.”

En este momento, Trend Micro, Facebook y BlackBerry están trabajando juntos para detectar el ataque y prevenir que se lleve a cabo contra nuevos usuarios.

El error SOP de Android ha estado presente desde septiembre de 2014, y todos los dispositivos Android hasta Android 4.4 KitKat son vulnerables a esta falla. Hay millones de smartphones Android que funcionan con versiones más antiguas del sistema operativo Android que pueden ser utilizados para explotar este error y llevar a cabo actividades ilícitas por parte de los ciberdelincuentes. La mayoría de los smartphones baratos funcionan con versiones más antiguas de Android, lo que facilita aún más el trabajo de los ciberdelincuentes. Si eres propietario de un smartphone Android, actualiza tu smartphone a la última versión de Android 5.1 Lollipop lo antes posible. Si aún estás utilizando un smartphone que funciona con la versión anticuada de Android, ahora es el momento de desecharlo.