Más de la mitad de los dispositivos Android vulnerables a un error de control remoto a través de una aplicación falsa similar

Este parece ser un mal mes para Google y, en particular, para el equipo de seguridad de Android, porque desde que comenzó el mes, se han reportado importantes vulnerabilidades en el sistema operativo Android. Primero fue la vulnerabilidad Stagefright, que podría permitir a los hackers hacer que tu smartphone se bloquee solo enviando un mensaje multimedia. Luego vino la vulnerabilidad Silent Attack, que era la extensión de Stagefright y podría permitir a los hackers acceder de forma remota al smartphone Android sin el consentimiento o conocimiento del propietario.

Ahora, el equipo de investigación de seguridad de aplicaciones X-Force de IBM ha descubierto otra vulnerabilidad crítica en los smartphones y tabletas Android. La falla, que afecta a las versiones del sistema operativo Android 4.3 Jelly Bean hasta Android 5.1 Lollipop y también a la última versión Android M Preview 1, permite a los hackers controlar de forma remota un dispositivo objetivo.

Dado que esta falla afecta a todos los dispositivos que funcionan desde Jelly Bean en adelante, casi la mitad de los smartphones activos en el mundo están afectados por este error. La vulnerabilidad ha sido denominada como vulnerabilidad de serialización de Android y se le ha asignado el CVE-2015-3825.

La vulnerabilidad de serialización de Android permite que una aplicación maliciosa sin privilegios obtenga el control total de un dispositivo a través de la ejecución remota de código. Lo que significa que los hackers pueden reemplazar una aplicación legítima y confiable con una ‘ Super App ‘ similar para engañar al usuario y que ingrese detalles personales.

Or Peles, del equipo de investigación de seguridad de aplicaciones X-Force de IBM, explicó en una publicación de blog que la falla aún no ha sido explotada en el mundo real, pero afirmó que “con el enfoque y las herramientas adecuadas, las aplicaciones maliciosas tienen la capacidad de eludir incluso a los usuarios más conscientes de la seguridad.”

“El exploit PoC que creamos ataca el proceso system_server, que tiene privilegios muy altos. Explotar system_server permite la escalada de privilegios al usuario del sistema con un perfil de SELinux bastante relajado (debido a las muchas responsabilidades de system_server), lo que permite al atacante causar mucho daño. Por ejemplo, un atacante puede tomar el control de cualquier aplicación en el dispositivo de la víctima reemplazando el paquete de aplicación Android (APK) de la aplicación objetivo. Esto puede permitir al atacante realizar acciones en nombre de la víctima. Además, pudimos ejecutar comandos de shell para exfiltrar datos de todas las aplicaciones instaladas en el dispositivo al explotar la aplicación Android Keychain. También pudimos cambiar la política de SELinux y, en algunos dispositivos, cargar módulos de kernel maliciosos.”

Una vez que se ejecuta el malware, reemplaza una aplicación real por una falsa, lo que permite al atacante robar información sensible de la aplicación o crear un convincente ataque de phishing.

Peles afirmó que su equipo también ha encontrado vulnerabilidades en varios SDK de Android de terceros, lo que permite la ejecución de código arbitrario que podría permitir a los atacantes robar información sensible de las aplicaciones afectadas.

“Las vulnerabilidades descubiertas son el resultado de la capacidad del atacante para controlar los valores de puntero durante la deserialización de objetos en el espacio de memoria de aplicaciones arbitrarias, que luego es utilizado por el código nativo de la aplicación invocado por el recolector de basura (GC) del tiempo de ejecución,” agregó. Los desarrolladores aprovechan las clases dentro de la plataforma y los SDK de Android. Estas clases proporcionan funcionalidad para las aplicaciones, por ejemplo, acceder a la red o a la cámara del teléfono.” “La vulnerabilidad que encontramos puede ser explotada por malware a través del canal de comunicación que se produce entre aplicaciones o servicios. A medida que la información se descompone y se vuelve a ensamblar, se inserta código malicioso en este flujo, explota la vulnerabilidad en el otro extremo y luego toma el control del dispositivo.”

El equipo de investigación X-Force ha notificado a Google, que ya ha lanzado un parche para la falla. La investigación de X-Force se puede encontrar aquí.