Pagina principal Seguridad Cómo se pueden usar los servicios de accesibilidad de Android para hackear tu teléfono

Cómo se pueden usar los servicios de accesibilidad de Android para hackear tu teléfono

  • Mark Lucas
  • 0
  • 3953
  • 179
Anuncio

Se dice que el camino al infierno está pavimentado con buenas intenciones. Puedes hacer algo con los fines más magnánimos, pero si no tienes cuidado, todo puede salir horriblemente mal, increíblemente rápido..

Una vulnerabilidad de seguridad en los Servicios de accesibilidad de Android, descubierta por el investigador de seguridad de SkyCure Yair Amit, es un gran ejemplo de esto. Al explotar una falla en la herramienta que permite a las personas ciegas y con discapacidad visual usar dispositivos Android, un atacante podría obtener el control del dispositivo, en el proceso, obtener privilegios elevados y obtener acceso a los archivos almacenados en él..

Echemos un vistazo y descubramos cómo puede evitar que esto suceda.

Entendiendo la falla

El exploit se basa en investigaciones anteriores de SkyCure, publicadas en la conferencia RSA de este año. La investigación exploró cómo, al crear aplicaciones que pueden sobrepasar a otras y, a su vez, lanzar los servicios de accesibilidad integrados (mejoras de la interfaz de usuario diseñadas para ayudar a los usuarios con discapacidades), puede introducir varios tipos de comportamiento maligno, como se demuestra en el video a continuación.

Como prueba de concepto, SkyCure ha creado un juego basado en la popular serie de televisión Rick and Morty, que en realidad lanza un servicio de accesibilidad maliciosa, todo sin que el usuario lo note.

Al describir la amenaza original, SkyCure dice que podría usarse para “otorgar a un hacker malicioso permisos prácticamente ilimitados para su malware”. SkyCure dice que una aplicación potencial para el ataque es implementar ransomware. También podría usarse para redactar correos electrónicos y documentos corporativos a través del dispositivo del usuario, así como para monitorear de manera persistente la actividad del dispositivo.

Este tipo de ataque tiene un nombre: clickjacking, o menos comúnmente un “Ataque de reparación de UI”. OWASP (el Proyecto de seguridad de aplicaciones web abiertas) define el clickjacking como cuando “un atacante usa múltiples capas transparentes u opacas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando tenía la intención de hacer clic en la página de nivel superior”.

A partir de Android Lollipop (5.x), Google agregó una solución alternativa que, en teoría, habría hecho imposible este tipo de ataque. El cambio introducido por Google significaba que si un usuario deseaba activar los servicios de accesibilidad, el botón Aceptar no podía cubrirse con una superposición, evitando que un atacante los lanzara sigilosamente.

Como referencia, esto es lo que parece cuando inicia un servicio de accesibilidad manualmente. Como puede ver, Google es muy explícito acerca de los permisos de Android requeridos Cómo funcionan los permisos de aplicaciones de Android y por qué debería importarle Cómo funcionan los permisos de aplicaciones de Android y por qué debería importarle Android obliga a las aplicaciones a declarar los permisos que requieren cuando las instalan. Puede proteger su privacidad, seguridad y factura de teléfono celular prestando atención a los permisos al instalar aplicaciones, aunque muchos usuarios ... Esto disuadirá a muchos usuarios de instalar servicios de accesibilidad en primer lugar.

Cómo derrotar las protecciones de Google

Sin embargo, Yair Amit pudo encontrar una falla en el enfoque de Google.

“Estaba en un hotel cuando se me ocurrió que, aunque la puerta del hotel bloqueaba la vista del pasillo, había una mirilla que no bloqueaba la vista. Esta fue mi epifanía que me llevó a pensar que si hubiera un agujero en la superposición, el botón OK podría estar 'cubierto en su mayoría' y aún así aceptar un toque en el área potencialmente muy pequeña que no estaba cubierta, evitando así la nueva protección y todavía ocultando la verdadera intención del usuario.”

Para probar esta idea, el desarrollador de software de SkyCure, Elisha Eshed, modificó el juego Rick and Morty, que se utilizó en la prueba de concepto de exploit original. Eshed creó un pequeño agujero en la superposición, que se disfrazó como un elemento del juego, pero en realidad era el botón de confirmación en el servicio de accesibilidad. Cuando el usuario hizo clic en el elemento del juego, se lanzó el servicio y, con él, todo el comportamiento indeseable.

Si bien el exploit funcionó contra prácticamente todos los dispositivos Android que ejecutan Android KitKat, es oficial: Nexus 5 y Android 4.4 KitKat están aquí. Es oficial: Nexus 5 y Android 4.4 KitKat están aquí. El Nexus 5 ya está a la venta en Google Play Store y se está ejecutando. el nuevo Android 4.4 KitKat, que también se lanzará a otros dispositivos "en las próximas semanas". y anteriormente, este enfoque aumenta la cantidad de dispositivos explotables para incluir aquellos que ejecutan Android 5.0 Lollipop Android 5.0 Lollipop: qué es y cuándo lo obtendrás Android 5.0 Lollipop: qué es y cuándo lo obtendrás Android 5.0 Lollipop es aquí, pero solo en dispositivos Nexus. ¿Qué hay de nuevo en este sistema operativo y cuándo puede esperar que llegue a su dispositivo? . Como consecuencia, casi todos los dispositivos Android activos son vulnerables a este ataque.. SkyCure estima que hasta el 95.4% de los dispositivos Android podrían verse afectados.

Mitigando contra eso

En línea con los procedimientos de divulgación responsable sensible Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Divulgación completa o responsable: cómo se divulgan las vulnerabilidades de seguridad Las vulnerabilidades de seguridad en paquetes de software populares se descubren todo el tiempo, pero cómo se informan a los desarrolladores y cómo los hackers aprenden sobre vulnerabilidades que pueden explotar? , SkyCure primero contactó a Google antes de lanzarlo al público, para darles la oportunidad de arreglarlo. El equipo de seguridad de Android de Google decidió no solucionar el problema y aceptar el riesgo como consecuencia del diseño actual.

Para mitigar la amenaza, SkyCure recomienda que los usuarios ejecuten una versión actualizada de una solución móvil de defensa contra amenazas. Estos se defienden de manera proactiva contra las amenazas, al igual que lo hace un IPS (Sistema de protección contra intrusiones) o IDS (Sistema de detección de intrusiones). Sin embargo, están dirigidos abrumadoramente a usuarios empresariales, y están mucho más allá de los medios de la mayoría de los usuarios domésticos..

SkyCure recomienda que los usuarios domésticos se protejan asegurándose de que descargan aplicaciones solo de fuentes confiables ¿Es seguro instalar aplicaciones de Android de fuentes desconocidas? ¿Es seguro instalar aplicaciones de Android de fuentes desconocidas? Google Play Store no es su única fuente de aplicaciones, pero ¿es seguro buscar en otro lugar? , como Google Play Store. También recomienda que los dispositivos ejecuten una versión actualizada de Android, aunque dado el ecosistema fragmentado de Android y el proceso de actualizaciones impulsado por el operador ¿Por qué mi teléfono Android aún no se ha actualizado? ¿Por qué mi teléfono Android no se ha actualizado todavía? El proceso de actualización de Android es largo y complicado; examinémoslo para descubrir exactamente por qué su teléfono Android tarda tanto en actualizarse. , Esto es más fácil dicho que hecho.

Vale la pena señalar que Marshmallow, la última versión de Android, requiere que los usuarios creen manual y específicamente una superposición del sistema cambiando los permisos para esa aplicación. Si bien este tipo de vulnerabilidad podría afectar los dispositivos que ejecutan Marshmallow, en realidad eso no sucederá, ya que es significativamente más difícil de explotar.

Poniendo todo en contexto

SkyCure ha identificado una forma peligrosa y viable para que un atacante domine por completo un dispositivo Android. Si bien es aterrador, vale la pena recordarse que muchas cartas tienen que estar en su lugar para que un ataque basado en él funcione.

El atacante tiene que hacer una de dos cosas. Una táctica sería implementar su aplicación en Google Play Store, sin pasar por alto sus análisis extremadamente estáticos y procedimientos de detección de amenazas. Esto es extremadamente improbable. Seis años desde su apertura, y millones de aplicaciones más tarde, Google se ha vuelto extremadamente bueno en la identificación de malware y software falso. En ese punto, también lo ha hecho Apple, aunque Microsoft todavía tiene un largo camino por recorrer.

Alternativamente, los atacantes tendrán que convencer a un usuario para que configure su teléfono para aceptar software de fuentes no oficiales e instalar una aplicación que de otro modo sería desconocida. Como es poco probable que esto encuentre una gran audiencia, requerirá que los atacantes elijan un objetivo y los 'phishing'.

Si bien esto inevitablemente será una pesadilla para los departamentos de TI corporativos, será menos problemático para los usuarios domésticos comunes, la gran mayoría de los cuales obtienen sus aplicaciones de una única fuente oficial: Google Play Store.

Crédito de la imagen: candado roto por Ingvar Bjork a través de Shutterstock




Nadie ha comentado sobre este artículo todavía.

Vidme se cierra porque Google y Facebook
Noticias tecnológicas
Facebook lanza Messenger Kids para niños
Noticias tecnológicas
El soporte de Apple ahora ofrece tutoriales en YouTube
Noticias tecnológicas
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.