El ataque Media File Jacking puede hacerse en tiempo real
Si cree que no se pueden manipular los archivos multimedia que recibes en tus aplicaciones de mensajería segura cifrada de extremo a extremo, debes volver a pensarlo.
Investigadores de seguridad de Symantec demostraron ayer múltiples interesantes escenarios de ataque contra las aplicaciones de WhatsApp y Telegram de Android, que podrían permitir a los actores malintencionados difundir noticias falsas o estafar a los usuarios para que envíen pagos a cuentas incorrectas.
Denominado "Media File Jacking", el ataque aprovecha un hecho ya conocido de que cualquier aplicación instalada en un dispositivo puede acceder y reescribir archivos guardados en el almacenamiento externo, incluidos los archivos guardados por otras aplicaciones instaladas en el mismo dispositivo.
WhatsApp y Telegram permiten a los usuarios elegir si desean guardar todos los archivos multimedia entrantes en el almacenamiento interno o externo de su dispositivo.
Sin embargo, WhatsApp para Android almacena de forma predeterminada los archivos multimedia en el almacenamiento externo, mientras que Telegram para Android utiliza el almacenamiento interno para almacenar los archivos de los usuarios que no son accesibles a ninguna otra aplicación.
Sin embargo, muchos usuarios de Telegram cambian manualmente esta configuración a almacenamiento externo, usando la opción de la configuración "Guardar en la Galería", cuando desean volver a compartir los archivos multimedia recibidos con sus amigos utilizando otras aplicaciones de comunicación como Gmail, Facebook Messenger o WhatsApp.
Cabe señalar que el ataque no solo se limita a WhatsApp y Telegram, sino que también afecta la funcionalidad y la privacidad de muchas otras aplicaciones de Android.
¿Cómo funciona el ataque "Media File Jacking"?
Al igual que los ataques de hombre en el disco, una aplicación maliciosa instalada en el dispositivo de un destinatario puede interceptar y manipular archivos multimedia, como fotos privadas, documentos o vídeos, enviados entre usuarios a través del almacenamiento externo del dispositivo, todo sin el conocimiento del destinatario y en tiempo real.
"El hecho de que los archivos se almacenen y se carguen desde el almacenamiento externo sin los mecanismos de seguridad adecuados permite que otras aplicaciones con permiso de almacenamiento de escritura en externo corran el riesgo de la integridad de los archivos multimedia", dijeron los investigadores en una publicación del blog.
"Los atacantes podrían aprovechar las relaciones de confianza entre un remitente y un receptor al usar estas aplicaciones de mensajería instantánea para obtener beneficios personales o causar estragos".
Los investigadores ilustraron y demostraron cuatro escenarios de ataque, como se explica a continuación, donde una aplicación de malware puede analizar y manipular instantáneamente los archivos entrantes, lo que lleva a:
1.) Manipulación de la imagen.
En este escenario de ataque, una aplicación aparentemente inocente, pero en realidad maliciosa, descargada por un usuario puede ejecutarse en segundo plano para realizar un ataque de Media File Jacking mientras la víctima usa WhatsApp y "manipula fotos personales casi en tiempo real y sin saberlo la víctima".
2.) Manipulación de pagos.
En este escenario, que los investigadores llaman "uno de los ataques más dañinos de Media File Jacking", un actor malintencionado puede manipular una factura enviada por un proveedor a los clientes para engañarlos y hacer que realicen un pago en una cuenta controlada por el atacante.
3.) Spoofing de mensaje de audio
En este escenario de ataque, los atacantes pueden explotar las relaciones de confianza entre los empleados de una organización. Pueden usar la reconstrucción de voz a través de la tecnología de aprendizaje profundo para alterar un mensaje de audio original para su beneficio personal o para causar estragos.
4.) Difundir noticias falsas
En Telegram, los administradores utilizan el concepto de "canales" para transmitir mensajes a un número ilimitado de suscriptores que consumen el contenido publicado. Al usar los ataques de Media File Jacking, un atacante puede cambiar en tiempo real los archivos multimedia que aparecen en un canal de confianza para difundir noticias falsas.
Cómo evitar que los hackers secuestren tus archivos Android
Symantec ya notificó a Telegram y Facebook/WhatsApp sobre los ataques de Media File Jacking, pero cree que Google abordará el problema con su próxima actualización de Android Q.
Android Q incluye una nueva función de privacidad llamada Almacenamiento con Alcance (Scoped Storage) que cambia la forma en que las aplicaciones acceden a los archivos en el almacenamiento externo de un dispositivo.
Scoped Storage otorga a cada aplicación un espacio aislado de almacenamiento en el almacenamiento externo del dispositivo, donde ninguna otra aplicación puede acceder directamente a los datos guardados por otras aplicaciones en tu dispositivo.
Hasta entonces, los usuarios pueden mitigar el riesgo de tales ataques al deshabilitar la función responsable de guardar archivos multimedia en el almacenamiento externo del dispositivo. Para hacerlo, los usuarios de Android pueden dirigirse a:
WhatsApp: Configuración → Chats → Desactivar el conmutador para 'Visibilidad de medios'
Telegrama: Configuraciones → Configuraciones de chat → Deshabilitar la opción para 'Guardar en la galería'
