Clicky

Nueva clase de ataques afecta a todas las versiones de Android

hackeo de Android

El vector de ataque "Cloak and dagger" se aprovecha varias deficiencias de diseño

Los investigadores han demostrado cómo una aplicación malintencionada con dos permisos específicos puede comprometer furtivamente los dispositivos Android de los usuarios.

"Los posibles ataques incluyen clickjacking avanzado, grabación de pulsaciones sin restricciones, phishing furtivo, la instalación silenciosa de una aplicación en modo God (con todos los permisos habilitados) y el desbloqueo silencioso del teléfono + acciones arbitrarias (manteniendo la pantalla apagada) explicaron los investigadores de Georgia Tech y la Universidad de California, Santa Bárbara.

 

Los ataques

ataque Cloak and dagger

El vector de ataque - denominado "Cloak and dagger (Capa y daga)" - no se aprovecha de los errores, sino de varias deficiencias de diseño de la plataforma Android.

Afecta a toda la versión del popular sistema operativo móvil, incluyendo la última (v7.1.2, conocida como Android Nougat).

"Estos ataques abusan de uno o ambos permisos SYSTEM_ALERT_WINDOW ('draw on top') y BIND_ACCESSIBILITY_SERVICE ('a11y') [permissions]", señalaron los investigadores.

"Si la aplicación malintencionada se instala desde la Play Store, el usuario no recibe notificación sobre los permisos y no necesita concederlos explícitamente para que los ataques tengan éxito. De hecho, en este escenario, se concede automáticamente 'draw on top', y este permiso es suficiente para atraer al usuario a permitirlo inconscientemente (a través de clickjacking)".

Los investigadores no tuvieron problemas para colocar una aplicación en Google Play. "Presentamos una aplicación que requiere estos dos permisos y que contiene una funcionalidad no obfuscada para descargar y ejecutar código arbitrario (intentando simular un comportamiento claramente malicioso): esta aplicación se aprobó después de unas pocas horas (y aún está disponible en Google Play Store)", añadieron.

Mitigación

Google ha sido informado de esta investigación y de los problemas de seguridad que pueden surgir debido a estas decisiones de diseño. De acuerdo con la cronología de divulgación responsable presentada por los investigadores, la compañía no va a arreglar el problema "a11y", ya que consideran que la función está funcionando como se pretende, y no ha seguido con una actualización de estado sobre los otros temas.

A raíz de la divulgación pública de la investigación, Google ha señalado que han actualizado Google Play Protect para detectar y prevenir la instalación de dichas aplicaciones y que ya han creado nuevas protecciones de seguridad en Android O que tienen por objeto proteger contra estas cuestiones.

Sin embargo, como los ataques siguen siendo prácticos, los usuarios harían bien en tener mucho cuidado con las aplicaciones que descargan, y cuando descarguen una, para comprobar si se aprovechan de los dos permisos.

Para ver qué aplicaciones tienen el permiso "draw on top (dibujar en la parte superior)", ve a la configuración del dispositivo y revisa cada aplicación individual. Para comprobar el permiso "a11y", ve a Configuración → Accesibilidad → Servicios y comprueba qué aplicaciones lo requieren.

Jesus_Caceres