Vulnerabilidad de Android

Vulnerabilidad de Android Permite al Malware Omitir las Firmas de Apps

El Boletín de seguridad de Android de Diciembre de 2017 de Google contiene una solución para una vulnerabilidad que permite a los actores malintencionados evitar las firmas de las aplicaciones e inyectar códigos maliciosos en Android.

Descubierta por el equipo de investigación de la firma de seguridad móvil GuardSquare, la vulnerabilidad reside en el mecanismo que usa el sistema operativo Android para leer las firmas de las aplicaciones.

Los investigadores de GuardSquare dicen que el sistema operativo Android verifica con moderación los bytes en varias ubicaciones para verificar la integridad de un archivo.

La ubicación de estos bytes es diferente para los archivos APK y DEX y los investigadores descubrieron que podrían inyectar un archivo DEX dentro de un APK y el sistema operativo Android aún pensaría que está leyendo el archivo APK original.

Esto sucede porque el proceso de inserción de DEX no altera los bytes que Android verifica para la integridad y la firma del archivo nunca cambia.

En escenarios de la vida real, esta vulnerabilidad -que GuardSquare llamó Janus el dios romano de la dualidad- permite a un atacante inyectar archivos DEX maliciosos dentro de una actualización válida de la aplicación de Android (archivo APK).

Además, debido a que la aplicación actualizada hereda los permisos de la aplicación original, el malware entregado a través de este método puede obtener fácilmente derechos de acceso muy intrusivos mediante la explotación de aplicaciones que los usuarios normalmente consideran seguras.

El único inconveniente de un ataque de Janus es que no se puede realizar mediante el alojamiento de actualizaciones maliciosas en Play Store oficial y los atacantes deben atraer a los usuarios en tiendas de aplicaciones de terceros y engañarlos para que instalen actualizaciones para aplicaciones legítimas.

Según GuardSquare, la vulnerabilidad de Janus afecta solo a las aplicaciones firmadas con el esquema de firma de la aplicación v1. Las aplicaciones firmadas con el esquema de firma v2 no se ven afectadas.

Además, Janus solo afecta a dispositivos con Android 5.0 y versiones posteriores. Una actualización de Android que repara los teléfonos contra Janus está disponible para los propietarios de los teléfonos inteligentes de Google. El resto de la plebe de Android está a merced de los operadores de telefonía móvil.

Dejar una contestacion