Clicky

Parchea tu dispositivo Android para frustrar los ataques Toast Overlay

Android Oreo

Un "ataque de superposición" engaña a los usuarios para que hagan clic en botones falsos

Los ataques de superposición no son nada nuevo para los usuarios de Android, y los investigadores de la Unidad 42 de Palo Alto Networks han encontrado otra forma de perpetrarlos.

Un "ataque de superposición" permite que la aplicación de un atacante coloque las ventanas sobre otras ventanas y aplicaciones que se ejecutan en el dispositivo, engañando a los usuarios para que hagan clic en los botones y permitan acciones que podrían comprometer a sus dispositivos.

El ataque de superposición de "tostada"

A principios de este año, un grupo de investigadores demostró cómo una aplicación malintencionada podía lograr la capacidad de "atraer a otras" aplicaciones después de que se le concedieran dos permisos específicos (SYSTEM_ALERT_WINDOW y BIND_ACCESSIBILITY_SERVICE) y se descarga desde Google Play.

El ataque Toast Overlay, como ha sido bautizado por los investigadores de Palo Alto Networks, no requiere que la aplicación maliciosa provenga de Google Play y puede ser afectada si la aplicación sólo obtiene BIND_ACCESSIBILITY_SERVICE.

Al igual que con Cloak and Dagger, este ataque de superposición funciona modificando regiones de la pantalla para cambiar lo que el usuario ve, engañándolos para habilitar permisos adicionales o identificar sus entradas. Un vídeo de este ataque en acción está disponible aquí:

"La ventana 'Tostada' TYPE_TOAST) es uno de los tipos de superposición soportados en Android. La superposición Toast suele utilizarse para mostrar un mensaje rápido sobre todas las demás aplicaciones. Por ejemplo, un mensaje que indica que un correo electrónico se ha guardado como borrador cuando un usuario se aleja sin enviar un correo electrónico. Naturalmente, hereda todas las opciones de configuración como para otros tipos de ventanas, explicaron los investigadores.

"Sin embargo, nuestra investigación ha encontrado que utilizando la ventana Toast como una ventana de superposición permite que una aplicación escriba sobre la interfaz de otra aplicación sin solicitar el privilegio SYSTEM_ALERT_WINDOW que normalmente requiere. De esta manera, la aplicación puede iniciar un ataque de superposición sin ningún permiso especial".

Un ataque de superposición puede utilizarse para engañar a los usuarios para que instalen programas maliciosos, otorguen privilegios administrativos completos o bloqueen el dispositivo y lo mantengan como rehén para el rescate.

ataque de superposición

¿Qué dispositivos son vulnerables?

Son vulnerables los teléfonos inteligentes que ejecutan todas las versiones de Android excepto la última (8.0 Oreo). Desde que ha sido lanzada Android Oreo hace menos de un mes aún no ha logrado una tasa de adopción incluso del 0,1%, lo que significa efectivamente que casi todos los dispositivos Android en uso son vulnerables.

Tabla 1: Overlay Attack Mitigations in Versions of Android

Version Distribution Without permission Monitor outside touch Timeout Multiple overlays for same UID Verified in real devices
2.3.3

2.3.7

0.7% Yes Yes

(No in 2.3.7)

No Yes No
4.0.3

4.0.4

0.7% Yes No No Yes Yes
4.1.x 2.7% Yes No No Yes No
4.2.x 3.8% Yes No No Yes No
4.3 1.1% Yes No No Yes No
4.4 16.0% Yes Yes No Yes Yes
5.0 7.4% Yes Yes No Yes Yes
5.1 21.8% Yes Yes No Yes Yes
6.0 32.3% Yes Yes No Yes Yes
7.0 12.3% Yes Yes No Yes Yes
7.1 1.2% Yes Yes Yes (3.5 s) No Yes
8.0 0.0% No _ _ _ Yes

Por el momento, Google agregó un nuevo permiso restrictivo (TYPE_APPLICATION_OVERLAY) a Android Oreo, en el intento de frustrar el malware de secuestro de pantalla. El permiso bloquea la ubicación de las ventanas sobre cualquier ventana crítica del sistema, permitiendo a los usuarios acceder a la configuración y bloquear que una aplicación muestre las ventanas de alerta.

La vulnerabilidad (CVE-2017-0752) que permite los ataques Toast Overlay ha sido confirmada por Google y ha sido reparada este mes.

Los usuarios de los dispositivos Android de Google, Nexus y Pixel, pueden actualizarlos de inmediato y estar seguros de estos ataques. Se han proporcionado parches para todas las versiones de Android. Por supuesto, los usuarios también podrían optar por actualizar a Android Oreo.

Los usuarios que dependen de las actualizaciones de seguridad de sus proveedores de móviles o fabricantes de teléfonos inteligentes deben solicitar información sobre la disponibilidad de parches y actualizaciones directamente de ellos.

Por el momento, los investigadores no son conscientes de ataques activos contra esta vulnerabilidad.

 

Jesus_Caceres