Cómo se pueden utilizar los servicios de accesibilidad de Android para hackear tu teléfono
Se dice que el camino al infierno está pavimentado de buenas intenciones. Puedes hacer algo con los fines más magnánimos, pero si no tienes cuidado, todo puede salir terriblemente mal, increíblemente rápido..
Una vulnerabilidad de seguridad en los Servicios de accesibilidad de Android, descubierta por el investigador de seguridad de SkyCure Yair Amit, es un gran ejemplo de esto. Al explotar una falla en la herramienta que permite a las personas ciegas y con discapacidades visuales usar dispositivos Android, un atacante podría obtener el control del dispositivo, en el proceso de adquirir privilegios elevados, y tomar acceso a los archivos almacenados en él..
Echemos un vistazo y descubramos cómo puede evitar que esto suceda..
Entendiendo el defecto
El exploit se basa en una investigación anterior realizada por SkyCure, publicada en la conferencia RSA de este año. La investigación exploró cómo, al crear aplicaciones que pueden dibujar sobre otras, y a su vez lanzar los servicios de accesibilidad incorporados (mejoras en la interfaz de usuario diseñadas para ayudar a los usuarios con discapacidades), puede introducir varios tipos de comportamiento maligno, como se demuestra en la video abajo.
Como prueba de concepto, SkyCure ha creado un juego basado en las populares series de televisión Rick y Morty, que en realidad lanza un servicio de accesibilidad malicioso, todo sin que el usuario se dé cuenta..
Al describir la amenaza original, SkyCure dice que podría usarse para “dar a un hacker malicioso permisos virtualmente ilimitados a su malware”. Una aplicación potencial para el ataque, dice SkyCure, es implementar ransomware. También se puede utilizar para redactar correos electrónicos y documentos corporativos a través del dispositivo del usuario, así como para monitorear de forma persistente la actividad del dispositivo..
Este tipo de ataque tiene un nombre: clickjacking, o menos comúnmente un “Ataque de reparación de la interfaz de usuario”. OWASP (Open Web Application Security Project) define el clickjacking como cuando “un atacante utiliza varias capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando pretendía hacer clic en la página de nivel superior”.
A partir de Android Lollipop (5.x), Google agregó una solución que, en teoría, habría hecho imposible este tipo de ataque. El cambio introducido por Google significaba que si un usuario deseaba activar los servicios de accesibilidad, el botón OK no podía ser cubierto por una superposición, lo que impedía que un atacante los lanzara por sigilo.
Como referencia, esto es lo que parece cuando inicia un servicio de accesibilidad manualmente. Como puede ver, Google es muy explícito acerca de los permisos requeridos para Android. Cómo funcionan los permisos de las aplicaciones de Android y por qué debería importarle Cómo funcionan los permisos de la aplicación de Android y por qué debería importarle Android obliga a las aplicaciones a declarar los permisos que necesitan cuando los instalan. Puede proteger su privacidad, seguridad y factura de su teléfono celular prestando atención a los permisos al instalar aplicaciones, aunque muchos usuarios ... Leer más. Esto disuadirá a muchos usuarios de instalar servicios de accesibilidad en primer lugar.
Cómo derrotar las protecciones de Google
Yair Amit, sin embargo, pudo encontrar una falla en el enfoque de Google.
“Estaba en un hotel cuando se me ocurrió que aunque la puerta del hotel bloqueaba principalmente la vista del pasillo exterior, había una mirilla que no bloqueaba la vista. Esta fue mi epifanía que me llevó a pensar que si había un agujero en la superposición, el botón Aceptar podría estar 'cubierto en su mayoría' y seguir aceptando un toque en el área potencialmente muy pequeña que no estaba cubierta, evitando así la nueva protección y Aún escondiendo la verdadera intención del usuario..”
Para probar esta idea, el desarrollador de software de SkyCure, Elisha Eshed, modificó el juego Rick and Morty, que se usó en la prueba de concepto de exploit original. Eshed creó un pequeño agujero en la superposición, que estaba disfrazado como un elemento del juego, pero en realidad era el botón de confirmación en el servicio de accesibilidad. Cuando el usuario hizo clic en el elemento del juego, se lanzó el servicio y, con él, todo el comportamiento no deseado..
Mientras que el exploit original funcionó contra prácticamente todos los dispositivos Android que funcionan con Android KitKat es oficial: Nexus 5 y Android 4.4 KitKat están aquí Es oficial: Nexus 5 y Android 4.4 KitKat están aquí El Nexus 5 ya está a la venta en Google Play Store y se está ejecutando El nuevo Android 4.4 KitKat, que también se lanzará a otros dispositivos "en las próximas semanas". Lea más y antes, este enfoque aumenta la cantidad de dispositivos explotables para incluir los que ejecutan Android 5.0 Lollipop Android 5.0 Lollipop: Qué es y cuándo lo obtendrá Android 5.0 Lollipop: Qué es y cuándo lo obtendrá Android 5.0 Lollipop está aquí, pero solo en dispositivos Nexus. ¿Qué es exactamente lo nuevo de este sistema operativo y cuándo puede esperar que llegue a su dispositivo? Lee mas . Como consecuencia, casi todos los dispositivos Android activos son vulnerables a este ataque. SkyCure estima que hasta el 95,4% de los dispositivos Android podrían verse afectados.
Mitigando contra ello
En línea con los procedimientos de divulgación responsable y sensata Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Las vulnerabilidades de seguridad en los paquetes de software populares se descubren todo el tiempo, pero ¿cómo se informan a los desarrolladores y cómo lo hacen? Los hackers aprenden sobre las vulnerabilidades que pueden explotar? Lea más, SkyCure contactó a Google por primera vez antes de lanzarlo al público, para darles la oportunidad de solucionarlo.. El equipo de seguridad de Android de Google ha decidido no solucionar el problema y aceptar el riesgo como consecuencia del diseño actual.
Para mitigar la amenaza, SkyCure recomienda que los usuarios ejecuten una versión actualizada de una solución de defensa móvil contra amenazas. Estos se defienden de manera proactiva contra las amenazas, al igual que lo hace un IPS (Sistema de protección contra intrusiones) o un Sistema de detección de intrusos (IDS). Sin embargo, están dirigidos mayoritariamente a usuarios empresariales y están muy lejos de los medios de la mayoría de los usuarios domésticos.
SkyCure recomienda que los usuarios domésticos se protejan al asegurarse de que descargan aplicaciones solo de fuentes confiables. ¿Es seguro instalar aplicaciones de Android de fuentes desconocidas? ¿Es seguro instalar aplicaciones de Android de fuentes desconocidas? Google Play Store no es su única fuente de aplicaciones, pero ¿es seguro buscar en otra parte? Leer más, como el Google Play Store. También recomienda que los dispositivos ejecuten una versión actualizada de Android, aunque dado el ecosistema fragmentado de Android y el proceso de actualizaciones impulsado por el operador ¿Por qué no se ha actualizado aún mi teléfono Android? ¿Por qué mi teléfono con Android no se ha actualizado todavía? El proceso de actualización de Android es largo y complicado; Examinémoslo para averiguar exactamente por qué su teléfono Android tarda tanto en actualizarse. Leer más, esto es más fácil decirlo que hacerlo..
Vale la pena señalar que Marshmallow, la última versión de Android, requiere que los usuarios creen manualmente y específicamente una superposición del sistema cambiando los permisos para esa aplicación. Si bien este tipo de vulnerabilidad podría afectar a los dispositivos que ejecutan Marshmallow, en realidad eso no va a suceder, ya que es mucho más difícil de explotar..
Poniendo todo en contexto
SkyCure ha identificado una forma peligrosa y viable para que un atacante domine por completo un dispositivo Android. Si bien da miedo, vale la pena recordar que muchas de las tarjetas tienen que encajar para que un ataque basado en él funcione..
El atacante tiene que hacer una de dos cosas. Una táctica sería implementar su aplicación en Google Play Store y, a su vez, omitir sus procedimientos de detección de amenazas y análisis estático extremadamente vigorosos. Esto es extremadamente improbable. Seis años después de la apertura, y millones de aplicaciones más tarde, Google se ha vuelto extremadamente bueno en la identificación de software malicioso y falso. En ese punto, también Apple, aunque Microsoft todavía tiene un largo camino por recorrer.
Alternativamente, los atacantes tendrán que convencer a un usuario de configurar su teléfono para que acepte software de fuentes no oficiales, y para instalar una aplicación por lo demás desconocida. Como es poco probable que esto encuentre una gran audiencia, se requerirá que los atacantes escojan un objetivo y lo "lancen"..
Si bien esto inevitablemente será una pesadilla para los departamentos de TI corporativos, será un problema menor para los usuarios domésticos normales, la mayoría de los cuales obtienen sus aplicaciones de una única fuente oficial: Google Play Store..
Crédito de la imagen: candado roto de Ingvar Bjork a través de Shutterstock
Explore más acerca de: clickjacking, Google Play, seguridad de teléfonos inteligentes.