Una nueva vulnerabilidad que afecta a los dispositivos móviles Android no es el resultado de un error tradicional, sino de la combinación maliciosa de dos permisos legítimos que potencian las características deseables y de uso común en aplicaciones populares. La combinación podría dar lugar a una nueva clase de ataques, que tienellamado "Capa y Daga"
La vulnerabilidad, que fue identificada y probada en entornos cerrados por informáticos del Instituto de Tecnología de Georgia, permitiría a los atacantes tomar el control de un dispositivo móvil en silencio, superponiendo la interfaz gráfica con información falsa para ocultar actividades maliciosas que se realizan debajo -- como capturar contraseñas o extraer los contactos del usuario. Un ataque exitoso requeriría que el usuario instale primero un tipo de malware que podría estar oculto en un juego pirateado u otra aplicación.
Los investigadores de Georgia Tech han revelado el posible ataque a Google, fabricante del sistema Android, y los detalles de la vulnerabilidad se presentarán el 24 de mayo en el 38º Simposio IEEE sobre Seguridad y Privacidad en San José, California. Pero debido a que involucra dos puntos en comúncaracterísticas que se pueden usar incorrectamente incluso cuando se comportan según lo previsto, el problema podría ser más difícil de resolver que los errores normales del sistema operativo.
"En Cloak and Dagger, identificamos dos características diferentes de Android que, cuando se combinan, permiten que un atacante lea, cambie o capture los datos ingresados en aplicaciones móviles populares", dijo Wenke Lee, profesor de la Facultad de Ciencias de la Computación de Georgia Tech ycodirector del Instituto de Seguridad y Privacidad de la Información ". Las dos funciones involucradas son muy útiles en aplicaciones de mapeo, chat o administrador de contraseñas, por lo que evitar su mal uso requerirá que los usuarios intercambien conveniencia por seguridad. Este es un ataque tan peligroso como nosotros.posiblemente podría describir "
La investigación fue patrocinada por la National Science Foundation NSF, la Oficina de Investigación Naval ONR y la Agencia de Proyectos de Investigación Avanzada de Defensa DARPA.
La primera función de permiso involucrada en el ataque, conocida como "BIND_ACCESSIBILITY_SERVICE", admite el uso de dispositivos por parte de personas discapacitadas, permitiendo que las entradas como el nombre de usuario y la contraseña se realicen mediante comandos de voz, y permitiendo salidas como un lector de pantalla paraayudar al contenido de visualización deshabilitado. El segundo permiso, conocido como "SYSTEM_ALERT_WINDOW", es una función de superposición o "dibujar en la parte superior" que produce una ventana en la parte superior de la pantalla habitual del dispositivo para mostrar burbujas para un programa de chat o mapas para un paseo.aplicación compartida
Cuando se combina de manera maliciosa, "SYSTEM_ALERT_WINDOW" actúa como una capa, mientras que "BIND_ACCESSIBILITY_SERVICE" sirve como la daga. Los dos podrían permitir a los atacantes dibujar una ventana que engaña a los usuarios haciéndoles creer que están interactuando con características legítimas de la aplicación.El programa malicioso, que funciona como superposición, capturaría las credenciales del usuario para el autor del malware, mientras que el permiso de accesibilidad ingresaría las credenciales en la aplicación real oculta debajo, lo que le permitiría operar como se esperaba, dejando al usuario sin la menor idea de nadaestá mal
Los investigadores probaron un ataque simulado en 20 usuarios de dispositivos móviles Android y descubrieron que ninguno de ellos notó el ataque.
Lo más preocupante para los investigadores de Georgia Tech es que estos permisos pueden incluirse automáticamente en aplicaciones legítimas de la tienda Google Play, lo que significa que los usuarios no necesitan otorgar explícitamente permisos para que el ataque tenga éxito.
"Esta es una falla de diseño que algunos podrían decir que permite que la funcionalidad de la aplicación funcione según lo previsto, pero nuestra investigación muestra que puede ser mal utilizada", dijo Yanick Fratantonio, primer autor del artículo y pasante de verano de Georgia Tech Ph.D.de la Universidad de California en Santa Bárbara: "Una vez que el teléfono se ve comprometido, es posible que el usuario no pueda entender lo que sucedió".
Casi el 10 por ciento de las 5.000 aplicaciones principales de Android usan la función de superposición, señaló Fratantonio, y muchas se descargan con la función de accesibilidad habilitada.
Si bien ambos permisos se han utilizado por separado como ataques de reparación de la interfaz de usuario y "ataques frecuentes", la investigación previa no examinó lo que sucede cuando se combinan, señaló Simon P. Chung, investigador científico de la Facultad de Ciencias de la Computación de Georgia Tech yuno de los coautores del estudio.
Fratantonio dijo que crear vulnerabilidades cuando se combinan los permisos puede ser una realidad que los desarrolladores de sistemas tendrán que considerar más seriamente en el futuro. "Cambiar una función no es como corregir un error", explicó. "Los diseñadores de sistemas ahora tendrán quepiense más sobre cómo podrían interactuar las funciones aparentemente no relacionadas. Las funciones no funcionan por separado en el dispositivo ".
Las versiones de Android hasta la 7.1.2 actual incluida son vulnerables a este ataque. Los investigadores advierten que puede ser difícil determinar el estado de la configuración requerida para el ataque.
Lee y Fratantonio están de acuerdo con dos precauciones clave. Una es evitar la descarga de aplicaciones de proveedores que no sean de marcas como la tienda Google Play. Un segundo paso es verificar las solicitudes de permiso que hacen las aplicaciones antes de permitirles operar.
"Los usuarios deben tener cuidado con los permisos que solicitan las nuevas aplicaciones", dijo Lee. "Si hay permisos muy amplios, o los permisos no parecen coincidir con lo que promete hacer la aplicación, debe estar segurorealmente necesitas esa aplicación "
Los investigadores han producido un video que muestra el ataque y cómo verificar estos permisos, que se encuentran en diferentes ubicaciones según la versión del sistema operativo móvil.
"Las aplicaciones de fuentes de marca como Facebook, Uber y Skype deberían estar bien", dijo Lee. "Pero con un juego aleatorio o versiones gratuitas de aplicaciones pagas que puede descargar, debe tener mucho cuidado. Estas características sonmuy poderoso y puede ser abusado para hacer cualquier cosa que pueda hacer como usuario, sin que lo sepa ".
Además de los investigadores ya mencionados, el proyecto también incluyó a Chenxiong Qian de Georgia Tech.
Esta investigación fue apoyada por los premios NSF CNS-1017265, CNS-0831300, CNS-1149051 y DGE-1500084, por la ONR bajo las subvenciones N000140911042 y N000141512162, y por el programa DARPA Transparent Computing bajo el contrato DARPA-15-15-TC-FP-006. Las opiniones, hallazgos, conclusiones o recomendaciones expresadas en este material son de los autores y no reflejan necesariamente los puntos de vista de NSF, ONR o DARPA.
Cita: Yanick Fratantonio, et al., "Cloak and Dagger: From Two Permissions to Complete Control of the UI Feedback Loop", 38º Simposio IEEE sobre Seguridad y Privacidad, 2017.
Fuente de la historia :
Materiales proporcionado por Instituto de Tecnología de Georgia . Nota: El contenido puede ser editado por estilo y longitud.
Cite esta página :