Nueva vulnerabilidad en Android secuestra su instalador para el robo de información

Revelan los detalles de una vulnerabilidad generalizada en Android, el sistema operativo móvil de Google

Revelan los detalles de una vulnerabilidad generalizada en Android, el sistema operativo móvil de Google, que permite a los atacantes secuestrar el proceso de instalación de aplicaciones para dispositivos Android aparentemente seguras –Archivo Android Package (a archivos APK) — en los dispositivos de los usuarios, remplazándolos con una aplicación de la elección del atacante sin que el usuario tenga conocimiento de esto.

La explotación de esta vulnerabilidad, que se estima afectará a más del 49% de los usuarios de dispositivos Android, permite a los atacantes distribuir malware, comprometer dispositivos y robar datos de los usuarios. Palo Alto Networks, ha liberado una aplicación que ayudará a que los usuarios de Android que se encuentren potencialmente afectados puedan tener un diagnóstico de sus equipos para esta vulnerabilidad.

Descubierta por el investigador de Unit 42 de Palo Alto Networks, Zhi Xu, la vulnerabilidad explota un fallo en el servicio del sistema “PackageInstaller”, lo que permite a los atacantes sigilosamente obtener permisos ilimitados en dispositivos comprometidos, específicamente:

  • Durante la instalación, las aplicaciones de Android enlistan los permisos solicitados para realizar su función, tal como un mensaje de la app solicitando acceso a los mensajes SMS, pero no a la localización GPS.
  • Esta vulnerabilidad permite a los atacantes engañar a los usuarios mostrando un falso y limitado conjunto de permisos, mientras que ellos obtienen el acceso completo a los servicios y datos del dispositivo, incluyendo información personal y contraseñas.
  • Mientras que los usuarios piensan que están instalando una aplicación como una linterna o un juego, con un conjunto bien definido y limitado de permisos, se ejecuta en realidad un malware potencialmente peligroso.

El equipo de inteligencia Unit 42 de Palo Alto Networks, ha trabajado en conjunto con fabricantes de dispositivos de Google y Android como Samsung y Amazon para ayudar a proteger a sus usuarios y dando la oportunidad de que puedan parchar esta vulnerabilidad en las versiones de Android afectadas. Algunas dispositivos Android con versiones más antiguas es posible que sigan siendo vulnerables.

“Esta vulnerabilidad de Android significa que mientras los usuarios piensan que están accediendo a  aplicaciones legítimas con permisos aprobados, puedan al contrario, estar expuestos al robo de datos y malware. dInstamos a los usuarios a aprovechar las ventajas de la aplicación de diagnóstico que ofrece Palo Alto Networks para revisar sus dispositivos. Agradecemos a Google, Samsung y Amazon por su cooperación y atención”, señala Ryan Olson, director de Inteligencia de Unit 42 de Palo Alto Networks.

Mitigación

La vulnerabilidad que se dió a conocer, afecta a las aplicaciones de Android que se descargan de fuentes de terceros, pero no afecta aplicaciones que son accesadas desde Google Play. Palo Alto Networks recomienda a las empresas preocupadas por este riesgo de malware para los dispositivos Android los siguientes puntos:

  • En dispositivos vulnerables, sólo instalar aplicaciones de software provenientes de Google Play; estos archivos son descargados en un espacio protegido que no puede ser sobre-escrito por el atacante.
  • Actualizar el release de los dispositivos móviles con Android 4.3_r0.9 o posterior, tomando en cuenta que se ha encontrado que algunos dispositivos Android 4.3, son igualmente vulnerables.
  • No proveer a las aplicaciones con permisos de acceso a logcat. Logcat es un registro del sistema que puede utilizarse para simplificar y automatizar el exploit. Hay que tomar en cuenta que una app instalada aún podría ingeniárselas para conseguir el acceso al logcat de otras aplicaciones en un dispositivo móvil en modo root, utilizando Android 4.1 o posterior.
  • No permitir a los usuarios de la empresa el utilizar dispositivos en modo root en las redes de la empresa.
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *