Una nueva vulnerabilidad roba contraseñas y Clickjacks en su dispositivo Android

Investigadores del Georgia Institute of Technology y la Universidad de California, Santa Bárbara, han publicado un informe que indica varias vulnerabilidades encontradas con los sistemas operativos Android Lollipop, Marshmallow y Nougat.

Según los investigadores, las aplicaciones maliciosas tienen la capacidad de explotar dos permisos en la tienda Play Store: el «draw on top» y el «servicio de accesibilidad».

Los usuarios pueden ser atacados utilizando una de estas vulnerabilidades o ambas. El atacante puede hacer clic, registrar pulsaciones de teclas, robar el PIN de seguridad del dispositivo, insertar adware en el dispositivo y también utilizar tokens de autenticación de dos factores.

Lea también: 5 consejos para evitar que su dispositivo Android sea alcanzado por Ransomware.

«Cloak & Dagger es una nueva clase de ataques potenciales que afectan a los dispositivos Android. Estos ataques permiten que una aplicación maliciosa controle completamente el bucle de retroalimentación de la interfaz de usuario y se apodere del dispositivo, sin dar al usuario la oportunidad de Noter la actividad maliciosa», aNoteron los investigadores.

Esta vulnerabilidad también había sido expuesta antes

A principios de este mes, habíamos informado sobre una vulnerabilidad similar no corregida en el sistema operativo Android que utilizaría el permiso System_Alert_Window utilizado para `dibujar en la parte superior .

Anteriormente, este permiso – System_Alert_Window – tenía que ser concedido manualmente por el usuario, pero con la llegada de aplicaciones como Facebook Messenger y otras que utilizan ventanas emergentes en pantalla, Google lo concede por defecto.

Aunque la vulnerabilidad, si se explota, puede llevar a un ataque de rescate o adware completo, no será fácil para un hacker iniciarlo.

Este permiso es responsable del 74% de los programas de rescate, el 57% de los programas publicitarios y el 14% de los ataques de malware bancario a dispositivos Android.

Todas las aplicaciones que descargas de Play Store se analizan en busca de códigos maliciosos y macros. Por lo tanto, el atacante tendrá que eludir el sistema de seguridad incorporado de Google para entrar en la tienda de aplicaciones.

Google también actualizó recientemente su sistema operativo móvil con una capa adicional de seguridad que escanea todas las aplicaciones que se descargan en el dispositivo a través de la tienda Play Store.

¿Es seguro usar Android ahora mismo?

Las aplicaciones maliciosas que se descargan de Play Store obtienen los dos permisos mencionados anteriormente de forma automática, lo que permite que un atacante dañe su dispositivo de las siguientes maneras:

  • Ataque Invisible a la Red: El atacante dibuja una sobreimpresión invisible en el dispositivo, lo que le permite registrar las pulsaciones de teclas.
  • Robar el PIN del dispositivo y manejarlo en segundo plano incluso cuando la pantalla está apagada.
  • Inyección de adware en el dispositivo.
  • Explorar la web y el phishing sigilosamente.

Los investigadores se pusieron en contacto con Google sobre las vulnerabilidades encontradas y han confirmado que aunque la compañía ha implementado correcciones, no son a prueba de tontos.

La actualización desactiva las superposiciones, lo que evita el ataque de la cuadrícula invisible, pero Clickjacking sigue siendo una posibilidad, ya que estos permisos pueden ser desbloqueados por una aplicación maliciosa utilizando el método de desbloqueo del teléfono incluso cuando la pantalla está desactivada.

El teclado de Google también ha recibido una actualización que no impide el registro de pulsaciones de teclas, pero garantiza que las contraseñas no se filtren como cuando se introduce un valor en un campo de contraseña; ahora el teclado registra las contraseñas como un «punto» en lugar del carácter real.

Pero también hay una forma de evitarlo que puede ser explotada por los atacantes.

«Dado que es posible enumerar los widgets y sus códigos de hash que están diseñados para ser pseudo-únicos, los códigos de hash son suficientes para determinar qué botón del teclado fue realmente pulsado por el usuario», señalaron los investigadores.

También leer: 13 características de Android Cool Próximos revelado por Google.

Todas las vulnerabilidades que la investigación ha descubierto siguen siendo propensas a un ataque a pesar de que la última versión de Android recibió un parche de seguridad el 5 de mayo.

Los investigadores enviaron una aplicación a Google Play Store que requería los dos permisos mencionados anteriormente y que claramente mostraba intenciones maliciosas, pero fue aprobada y aún está disponible en la Play Store. Esto demuestra que la seguridad de Play Store no está funcionando muy bien.

¿Cuál es la mejor opción para mantenerse seguro?

Lo mejor es comprobar y deshabilitar ambos permisos manualmente para cualquier aplicación no fiable que tenga acceso a uno de ellos o a ambos

Así es como puedes comprobar qué aplicaciones tienen acceso a estos dos permisos «especiales» en tu dispositivo.

  • Android Nougat: « draw on top» – Ajustes -> Aplicaciones -> Símbolo del engranaje (arriba a la derecha) -> Acceso especial -> Dibujar sobre otras aplicaciones
    a11y : Configuración -> Accesibilidad -> Servicios: compruebe qué aplicaciones requieren a11y.
  • Android Marshmallow: «draw on top» – Ajustes -> Aplicaciones -> «Gear symbol» (arriba a la derecha) -> Dibujar sobre otras aplicaciones.
    a11y: Ajustes → Accesibilidad → Servicios: compruebe qué aplicaciones requieren a11y.
  • Android Lollipop: «draw on top» – Ajustes -> Aplicaciones -> haga clic en una aplicación individual y busque «draw over other apps»
    a11y: Configuración -> Accesibilidad -> Servicios: compruebe qué aplicaciones requieren a11y.

Google proporcionará más actualizaciones de seguridad para resolver los problemas encontrados por los investigadores.

También lea: Aquí está cómo quitar Ransomware de su teléfono.

Aunque varias de estas vulnerabilidades se solucionarán con las siguientes actualizaciones, los problemas relacionados con el permiso ` draw on top están ahí para quedarse hasta que se libere Android O.

Los riesgos de seguridad en Internet están creciendo a una escala masiva y actualmente, la única manera de proteger su dispositivo es instalar un software antivirus de confianza y ser un vigilante.

Última actualización el 8 de febrero de 2018

Deja un comentario