Android 4.3 Jelly Bean e versões anteriores sofrendo de uma grave vulnerabilidade de execução de código

Provavelmente, se você não estiver usando um smartphone ou tablet Android topo de linha de uma grande empresa como Google Motorola, Samsung, HTC ou LG, então você está usando um smartphone com a versão Android 4.3 Jelly Bean. E se você estiver usando um smartphone ou tablet com Android 4.3 Jelly Bean ou versão anterior, você, ou melhor, seu smartphone/tablet, está vulnerável a uma grave vulnerabilidade de execução de código. Essa vulnerabilidade foi descoberta pela Equipe de Segurança de Aplicações da IBM, há nove meses. Essa vulnerabilidade foi corrigida na versão mais recente do Android do Google, a versão 4.4 KitKat, mas o Android 4.3 e versões anteriores do Android permanecem altamente vulneráveis.

De acordo com os dados mais recentes disponíveis, apenas 13,6% do total de usuários do Android possuem KitKat em seu smartphone ou tablet. O que significa que cerca de 86,4% dos smartphones e tablets Android estão vulneráveis a essa vulnerabilidade de alto risco.

• *

Os pesquisadores de segurança da IBM descobriram que a vulnerabilidade de estouro de buffer de pilha reside no serviço de armazenamento KeyStore do Android, que é responsável por armazenar e proteger as chaves criptográficas do dispositivo.

“Um buffer de pilha é criado pelo método ‘KeyStore::getKeyForName’” “Essa função possui vários chamadores, que são acessíveis por aplicativos externos usando a interface Binder (por exemplo, ‘android::KeyStoreProxy::get’). Portanto, a variável ‘keyName’ pode ser controlada com um tamanho arbitrário por um aplicativo malicioso,” disse Hay. “A rotina ‘encode_key’ que é chamada por ‘encode_key_for_uid’ pode transbordar o buffer ‘filename’, uma vez que a verificação de limites está ausente.” explicaram os especialistas

Qualquer pessoa com conhecimento de programação da API do Android pode explorar com sucesso essa vulnerabilidade. Uma vez explorada, o hacker pode executar um código malicioso sob o processo do keystore. Uma vez executado, tal código pode levar a um vazamento sério das credenciais de bloqueio do dispositivo. Como a chave mestra é derivada das credenciais de bloqueio, sempre que o dispositivo é desbloqueado, ‘Android::KeyStoreProxy::password’ é chamado com as credenciais.

Ela também pode vazar chaves mestras descriptografadas, dados e identificadores de chaves protegidas por hardware da memória e chaves mestras criptografadas, dados e identificadores de chaves protegidas por hardware do disco para um ataque offline. Os hackers também podem interagir remotamente com o armazenamento protegido por hardware e realizar operações criptográficas (por exemplo, assinatura de dados arbitrários) em nome do usuário.

• *

Um potencial hacker wannabe pode teoricamente explorar a vulnerabilidade acima que existe em todos os dispositivos Android anteriores ao Android 4.4 KitKat, mas os especialistas acreditam que a exploração é bastante difícil de executar devido à presença de inúmeras dificuldades, como a necessidade de contornar as proteções baseadas em memória nativas do sistema operacional, incluindo Prevenção de Execução de Dados (DEP) e Randomização de Layout de Espaço de Endereçamento (ASLR). A Prevenção de Execução de Dados é uma mitigação de exploração que é usada para impedir a execução de código malicioso, mas os atacantes tiveram sucesso em contorná-la usando ataques de Programação Orientada ao Retorno (ROP). O ASLR é usado para mitigar ataques de estouro de buffer randomizando os locais de memória usados por arquivos de sistema e outros programas, implementando essa técnica é difícil adivinhar a localização de um determinado processo.

• *

“No entanto, o Android KeyStore é reiniciado toda vez que termina. Esse comportamento permite uma abordagem probabilística; além disso, o atacante pode até teoricamente abusar do ASLR para derrotar a codificação” afirma o post.

• *

Os especialistas confirmaram que ainda não viram a falha sendo explorada na prática.