Fake ID, nueva vulnerabilidad detectada en Android

31 de Julio de 2014 por Eva Pinillos García

El pasado 10 de julio hablábamos de dos nuevas vulnerabilidades en Android que se encargaban de realizar llamadas a números de tarificación adicional. Pues bien, la firma BlueBox Security ha descubierto una nueva vulnerabilidad relacionado con instalación de aplicaciones sin permiso y la ha denominado Fake ID.

Fake ID permite que el malware integre credenciales falsas en Android de manera que el sistema termine otorgando a la aplicación maliciosa los permisos de acceso necesarios que utiliza cualquier aplicación legítima.

data mining malware android

Entendiendo los certificados de Android

Partiendo de la base de que las aplicaciones Android deben estar firmadas para poder ser instaladas debemos decir que dicho certificado no tiene que ser emitido por una autoridad certificadora, pudiendo llegar a utilizarse certificados autofirmados. 

Para que se entienda mejor diremos que Android  integra en su código diversos certificados de determinados desarrolladores para que las aplicaciones de estos puedan tener acceso y permiso dentro del sistema. Por ejemplo, esta situación ocurre con los certificados de Adobe que permiten inyectar código en otras aplicaciones Android que hacen uso del plug-in de Flash Player.

De esta situación es de la que se aprovechan los nuevos atacantes y de ahí que se haya descubierto la nueva vulnerabilidad a partir de la cual los atacantes pueden firmar aplicaciones maliciosas con certificados ya incrustados en el sistema, como es el caso del certificado de Adobe expuesto anteriormente. De esta forma, imaginaros el proceso: el atacante firma su aplicación maliciosa y ésta se distribuye por el resto de aplicaciones instaladas a las que se tiene acceso gracias a ese certificado específico. Así, la aplicación maliciosa podrá recoger datos de todas las aplicaciones.

Fake ID solo afecta a las versiones de Android anteriores a la 4.4 KitKat y solo puede llegar a ser utilizado en aplicaciones con WebView.

La vulnerabilidad ya fue notificada a Google hace 3 meses y será presentada en la próxima conferencia Black Hat USA 2014, al igual que el fallo de seguridad detectado en los firmware de dispositivos USB del que hablábamos esta mañana.

¿Será Google capaz de implantar nuevas medidas que impidan vulnerabilidades como Fake ID? ¿Creéis que los cambios recientes en Google Play serán suficiente?

Fuente: BlueBox

Leave A Response