Una nueva vulnerabilidad que afecta a los dispositivos móviles Android no proviene de un error tradicional, sino de la combinación maliciosa de dos permisos legítimos que potencian las funciones deseables y comúnmente utilizadas en las aplicaciones más populares.
La combinación podría resultar en una nueva clase de ataques ya que se corresponde con una nueva vulnerabilidad, que ha sido bautizado como «Cloak and Dagger» (Capa y Espada).
Esta vulnerabilidad, que fue identificada y probada en entornos cerrados por científicos informáticos en el Georgia Institute of Technology, permitiría a los atacantes tomar silenciosamente el control de tu dispositivo móvil, superponiendo la interfaz gráfica con información falsa para ocultar las actividades maliciosas que se realizan debajo, como capturar contraseñas o extraer los contactos del usuario. Un ataque exitoso requeriría que el usuario primero instale un tipo de malware que podría estar oculto en un juego pirateado u otra aplicación.
«En la vulnerabilidad que nosotros llamada Cloak and Dagger, identificamos dos características diferentes de Android que cuando se combinan, permiten a un atacante leer, cambiar o capturar los datos introducidos en aplicaciones móviles populares«, dijo Wenke Lee, profesor de la Escuela de Informática de Georgia Tech y Director del Instituto de Seguridad para la Información y Privacidad. «Las dos características implicadas son muy útiles en las aplicaciones de mapas, chat o de administrador de contraseñas, por lo que evitar su uso indebido requerirá que los usuarios cambien comodidad por seguridad. Es un ataque extremadamente peligroso».
La investigación sobre esta nueva vulnerabilidad en Android fue patrocinada por la Fundación Nacional de Ciencias (NSF), la Oficina de Investigación Naval (ONR) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA).
La primera característica de esta vulnerabilidad de permiso implicada en el ataque, conocida como «BIND_ACCESSIBILITY_SERVICE», incide en el uso de los dispositivos por personas discapacitadas, permitiendo entradas como nombre de usuario y contraseña por comando de voz y permitiendo que salidas como un lector de pantalla ayudando a ver contenido. El segundo permiso, conocido como «SYSTEM_ALERT_WINDOW», es una función de superposición o «dibujar en la parte superior» que crea una ventana en la parte superior de la pantalla habitual del dispositivo en la que muestra burbujas para un programa de chat o de mapas para una aplicación de paseo compartido.
Cuando se combina de una manera maliciosa, «SYSTEM_ALERT_WINDOW» actúa como una capa, mientras que «BIND_ACCESSIBILITY_SERVICE» sirve como una espada. Los dos podrían permitir a los atacantes dibujar una ventana que engañe a los usuarios para creer que están interactuando con las características legítimas de la aplicación. El programa malicioso, que funciona como una superposición, a continuación, captura las credenciales del usuario para el autor del malware, mientras que en el permiso de accesibilidad se introducen las credenciales en la aplicación real oculta debajo, lo que le permite funcionar como se espera, dejando al usuario sin tener idea de lo que está pasando.
Los investigadores probaron un ataque simulado contra 20 usuarios de dispositivos móviles Android y descubrieron que ninguno de ellos notó el ataque.
De mayor preocupación para los investigadores de Georgia Tech es que estos permisos pueden incluirse automáticamente en aplicaciones legítimas de Google Play Store, lo que significa que los usuarios no necesitan conceder permisos explícitamente para que el ataque tenga éxito.
«Este es un defecto de diseño que algunos puedan decir que permite que la funcionalidad de la aplicación corra como estaba previsto, pero nuestra investigación muestra que puede ser mal utilizada«, dijo Yanick Fratantonio, el primer autor del documento y un doctorado en Georgia Tech. Estudiante de verano de la Universidad de California en Santa Bárbara. «Una vez que el teléfono está comprometido, puede que no haya manera de que el usuario entienda lo que ha pasado».
Casi el 10 por ciento de las 5.000 aplicaciones de Android utilizan la función de superposición, señaló Fratantonio, y muchas de ellas se descargan con la característica de accesibilidad habilitada.
Que se creen vulnerabilidades cuando los permisos se combinan, puede ser una realidad que los desarrolladores del sistema Android tendrán que considerar más seriamente en el futuro, dijo Fratantonio. «Cambiar una característica no es como arreglar un error«, explicó. «Los diseñadores de sistemas ahora tendrán que pensar más en cómo las características aparentemente no relacionadas podrían interactuar. Las funciones no se ejecutan por separado en el dispositivo».
Todas las versiones de Android incluyendo la 7.1.2 actual son vulnerables a este ataque. Los investigadores advierten que puede ser difícil determinar el estado de los ajustes requeridos para el ataque.
Hay dos precauciones clave, dicen Lee y Fratantonio. Una de ellas es evitar descargar aplicaciones de proveedores que no sean de la marca Google Play Store. Un segundo paso es comprobar las solicitudes de permisos que realizan las aplicaciones antes de permitir que funcionen.
«Los usuarios deben tener cuidado con los permisos que solicitan las nuevas aplicaciones», dijo Lee. «Si hay permisos muy amplios, o los permisos no parecen coincidir con lo que la aplicación promete hacer, debe asegurarse de que realmente necesita esa aplicación«.
«Las aplicaciones como Facebook, Uber y Skype deberían ser seguras», dijo Lee. «Pero con un juego de azar o versiones gratuitas de aplicaciones de pago que puedas descargar, deberías tener mucho cuidado, estas características son muy potentes y se puede abusar para hacer cualquier cosa sin que lo sepas».
