Más de mil millones de dispositivos Android tienen estas aplicaciones vulnerables instaladas

Los investigadores de seguridad del equipo de Microsoft Threat Intelligence han revelado una vulnerabilidad asociada a la traversía de rutas denominada ataque “Dirty Stream” en varias aplicaciones populares de Android.

Esta vulnerabilidad podría permitir que una aplicación maliciosa sobrescriba archivos arbitrarios en el directorio de inicio de la aplicación vulnerable.

En un informe publicado el miércoles, Dimitrios Valsamaras del equipo de Microsoft Threat Intelligence dijo: “Las implicaciones de este patrón de vulnerabilidad incluyen la ejecución de código arbitrario y el robo de tokens, dependiendo de la implementación de una aplicación.”

Agregó: “La ejecución de código arbitrario puede proporcionar a un actor de amenazas control total sobre el comportamiento de una aplicación. Mientras tanto, el robo de tokens puede proporcionar a un actor de amenazas acceso a las cuentas del usuario y datos sensibles.”

El descubrimiento afectó a múltiples aplicaciones vulnerables en la Google Play Store, representando más de cuatro mil millones de instalaciones.

Dos de las aplicaciones encontradas vulnerables al problema incluyen Xiaomi Inc. File Manager (com.mi.Android.globalFileexplorer), que tiene más de 1 mil millones de instalaciones, y WPS Office (cn.wps.moffice_eng), que tiene más de 500 millones de descargas.

El sistema operativo Android impone aislamiento al asignar a cada aplicación su propio espacio de datos y memoria dedicado, particularmente el componente del proveedor de contenido y su clase ‘FileProvider’, que facilita el intercambio seguro de datos y archivos con otras aplicaciones instaladas.

Cuando se implementa incorrectamente, podría introducir vulnerabilidades que podrían permitir eludir las restricciones de lectura/escritura dentro del directorio de inicio de una aplicación.

“Este modelo basado en el proveedor de contenido proporciona un mecanismo de intercambio de archivos bien definido, permitiendo que una aplicación servidora comparta sus archivos con otras aplicaciones de manera segura con un control detallado,” señaló Valsamaras.

“Sin embargo, hemos encontrado frecuentemente casos donde la aplicación consumidora no valida el contenido del archivo que recibe y, lo más preocupante, utiliza el nombre de archivo proporcionado por la aplicación servidora para almacenar en caché el archivo recibido dentro del directorio de datos internos de la aplicación consumidora.”

La ejecución de código malicioso puede lograrse permitiendo que un actor de amenazas tenga control total sobre el comportamiento de una aplicación y haciendo que se comunique con un servidor bajo su control para acceder a datos sensibles.

Como parte de la política de divulgación responsable de Microsoft, la compañía compartió sus hallazgos con los desarrolladores de aplicaciones de Android que se vieron afectados por Dirty Stream. Por ejemplo, los equipos de seguridad de Xiaomi, Inc. y WPS Office ya han investigado y solucionado el problema.

Sin embargo, la compañía cree que más aplicaciones podrían verse afectadas y probablemente comprometidas debido a la misma debilidad de seguridad. Por lo tanto, recomienda que todos los desarrolladores analicen su investigación y aseguren que sus productos no estén afectados.

“Anticipamos que el patrón de vulnerabilidad podría encontrarse en otras aplicaciones. Estamos compartiendo esta investigación para que los desarrolladores y editores puedan revisar sus aplicaciones en busca de problemas similares, corregir según sea apropiado y prevenir la introducción de tales vulnerabilidades en nuevas aplicaciones o lanzamientos,” agregó Valsamaras.

Reconociendo que este patrón de vulnerabilidad puede ser generalizado, Microsoft también compartió sus hallazgos con el equipo de Investigación de Seguridad de Aplicaciones de Android de Google.

El gigante de la búsqueda ha publicado un artículo en el sitio web de Android Developers para ayudar a los desarrolladores a evitar introducir este patrón de vulnerabilidad en sus aplicaciones.

Mientras tanto, los usuarios pueden mitigar el riesgo manteniendo sus dispositivos Android y aplicaciones instaladas de fuentes confiables actualizadas.