Investigadores
de FireEye han descubierto una
nueva vulnerabilidad en Android que podría
permitir a una aplicación maliciosa con permisos normales modificar los iconos
de la pantalla principal de Android y modificarlos para que apunten a sitios
web de phishing o a la propia aplicación maliciosa sin notificarlo al
usuario. Google ha reconocido el problema y ha liberado un parche a sus socios
OEM, aunque posiblemente tarde en llegar a los usuarios.
Android Open Source Project
(AOSP) clasifica
los permisos en Android en varios niveles: "normal", "dangerous",
"system", "signature" y " development". Los permisos normales
se conceden automáticamente en la instalación, sin pedir aprobación explícita
del usuario (aunque el usuario siempre puede revisar los permisos antes de
instalar).
En la última versión de Android
4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos
normales, el sistema solo muestra los permisos peligrosos. Si una aplicación
solo solicita permisos normales, Android no los muestra al usuario. Sin
embargo, FireEye ha descubierto que determinados permisos de la categoría "normal"
pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos
permisos una aplicación maliciosa puede
modificar los icosos de la página principal de forma que lanzen aplicaciones o sitios
web de phishing.
La aplicación maliciosa abusa del
conjunto de permisos:
"com.android.launcher.permission.READ_SETTINGS" y "com.android.launcher.permission.WRITE_SETTINGS".
Estos dos permisos permiten a una
aplicación consultar, insertar, eliminar o modificar todos los ajustes de la
configuración del "Launcher"
(lanzador), incluyendo la modificación e inserción de iconos. Estos dos
permisos están etiquetados como "normal"
desde la primera versión de Android.
Como prueba de concepto
desarrollaron una aplicación que hacía uso de estos dos permisos para modificar
iconos legítimos de algunas aplicaciones sensibles para redirigirlas a otros
sitios web. Con lo que confirmaron el problema en un Nexus 7 con Android 4.4.2.
Google Play no evitó que la aplicación fuera publicada y no se mostró ningún
aviso al usuario al descargarla e instalarla. Tras las pruebas, eliminaron tanto
las webs empleadas como la aplicación de Google Play. Por lo que nadie ha
podido verse afectado.
FireEye también confirma que la vulnerabilidad
no está limitada a dispositivos Android que ejecuten AOSP. También se ven
afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod
4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.
Google ha reconocido
la vulnerabilidad y ha distribuido un parche a sus sociosOEM. Sin
embargo, tal y como ya avisan en FireEye muchos
fabricantes que hacen uso de Android son lentos a la hora de adaptar las
actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición
de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente
para proteger a los usuarios.
Más información:
Occupy Your Icons Silently on Android
App Manifest/<permission>
Antonio Ropero
Twitter: @aropero
En cuestión de seguridad, viéndose afectada tanta gente, debería existir una mayor celeridad a la hora de corregir fallos, pienso.
ResponderEliminar