Apps de Android propensas al abuso

Por Weichao Sun (Analista de Amenazas Móviles)

Recientemente hemos encontrado una vulnerabilidad en ciertas aplicaciones Android que pone datos del usuario en riesgo de ser capturados o utilizados para lanzar ataques. Las dos aplicaciones afectadas que investigamos son muy populares:

– La aplicación de productividad se ha instalado al menos 10 millones de veces y tiene cientos de miles de comentarios de los clientes en su página de descarga

– La aplicación relacionada con las compras se ha instalado al menos 1 millón de veces y tiene varios miles de comentarios de los clientes en su página de descarga
Este problema radica en un cierto componente Android que básicamente ejecuta funciones de la aplicación. Este componente tiene un atributo llamado “android: exported” que , cuando está en “true”, permite que se ejecute o se acceda desde otras aplicaciones. Esto significa que las aplicaciones instaladas en un dispositivo pueden ser capaces de activar determinadas funciones en otras. Esto tiene evidentes usos prácticos para desarrolladores y vendedores que quieren captar a las empresas con aplicaciones de otros fabricantes, pero desde el punto de vista de la seguridad, también representa una oportunidad para que los criminales cibernéticos.

Usando actividades para lanzar ataques

Las maneras de aprovechar este problema pueden variar, dependiendo de la intención del atacante y de la naturaleza de la aplicación vulnerable. A modo de ejemplo, en nuestro análisis, encontramos que una actividad particular en un carrito de la app- uno que muestra pop-ups cada vez que el usuario realiza una compra – es vulnerable al abuso y puede ser provocada por otras aplicaciones. Una posible consecuencia de esto es que una aplicación maliciosa puede mostrar pop-ups en la aplicación comercial y utilizarlo para lanzar ataques. El atacante puede diseñar la aplicación maliciosa para mostrar ventanas emergentes que llevan a enlaces  u otras aplicaciones maliciosos.

Usando proveedores de contenido para robar información

Otra posible forma de aprovechar este problema de seguridad es dirigirse a los proveedores de contenido que manejan información crítica con el fin de apropiarse de ella. Un proveedor de contenido relacionado con el almacenamiento del usuario en la entrada a una aplicación de productividad, por ejemplo, se puede utilizar para capturar datos.
Cualquier proveedor de contenido considerado crítico puede ser protegido definiendo los permisos. Sin embargo, no poner el adecuado nivel de protección en los permisos puede hacer vulnerable al abuso al proveedor de contenido. En la mencionada aplicación de la productividad, el proveedor de contenidos almacena la entrada del usuario que estaba protegida por permisos Lectura y Escritura. Sin embargo, ambos se dieron permisos de nivel      “normal” de protección, lo que significa que todas las aplicaciones instaladas en el dispositivo conceden los dos permisos también.
¿Qué puede hacerse?

Para los desarrolladores, este tema pone de relieve la importancia de poner las restricciones apropiadas en los diferentes componentes de aplicaciones. Los componentes que son propensos a los abusos deben ser protegidos con permisos y con el nivel de protección adecuado. Como ya hemos informado, el uso de los niveles de protección con el fin de asegurar los componentes de Android no puede estar a prueba de tontos, pero ofrece un buen nivel de seguridad.
Recomendamos encarecidamente a los desarrolladores comprobar los componentes utilizados en su aplicación y asegurarse de que el acceso a ellos está restringido correctamente. Ya hemos puesto en contacto con los desarrolladores de las aplicaciones mencionadas anteriormente y les informamos de esta cuestión. Creemos que algunas otras aplicaciones populares pueden verse afectadas y trabajaremos para informarles sobre cómo los encontramos.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*