Los investigadores de Microsoft descubrieron recientemente que muchas aplicaciones de Android (al menos cuatro con más de 500 millones de instalaciones cada una) son susceptibles a ataques de ejecución remota de código, robo de tokens y otros problemas debido a debilidades de seguridad comunes a las que descubrieron.
Microsoft informó este problema al equipo de investigación de seguridad de Android de Google y Google ha publicado una nueva guía para desarrolladores de aplicaciones de Android sobre cómo reconocer y solucionar este problema.
Miles de millones de instalaciones en riesgo de verse comprometidas
Microsoft también compartió sus hallazgos con los proveedores de aplicaciones de Android afectadas en Google Play Store. Estos incluyen el producto de gestión de archivos de Xiaomi, que tiene más de mil millones de instalaciones, y WPS Office, que se ha descargado unas 500 millones de veces.
Microsoft dijo que los proveedores de ambos productos ya solucionaron el problema. Sin embargo, la empresa cree que existen otras aplicaciones que podrían explotarse y verse comprometidas debido a las mismas debilidades de seguridad. “Anticipamos que este patrón de vulnerabilidad también se puede encontrar en otras aplicaciones”, dijo el equipo de inteligencia de amenazas de Microsoft en una publicación de blog esta semana. “Al compartir los hallazgos de este estudio, los desarrolladores y editores pueden verificar sus aplicaciones en busca de problemas similares, solucionarlos si es necesario y asegurarse de que las nuevas aplicaciones y lanzamientos no introduzcan estas vulnerabilidades.
El problema descubierto por Microsoft afecta a las aplicaciones de Android que comparten archivos con otras aplicaciones. Según Microsoft, para facilitar el intercambio de forma segura, Android ha implementado una función llamada “proveedor de contenido”, que esencialmente le permite compartir los datos de su aplicación con otras aplicaciones instaladas en su dispositivo y sirve como una interfaz para administración y publicación. . Las aplicaciones que necesitan compartir archivos (o proveedores de archivos en Android) declaran rutas específicas que otras aplicaciones pueden usar para acceder a los datos. Los proveedores de archivos también incluyen funciones de identificación que otras aplicaciones pueden usar como direcciones para encontrarlas en su sistema.
Confianza ciega y falta de verificación de contenido
“Este modelo basado en proveedores de contenido proporciona un mecanismo de intercambio de archivos bien definido que permite a las aplicaciones compartir archivos de forma segura con otras aplicaciones con un control detallado”, dijo Microsoft. Sin embargo, las aplicaciones de Android a menudo no validan el contenido de un archivo cuando reciben un archivo de otra aplicación. “La principal preocupación es almacenar en caché el archivo recibido dentro del directorio de datos interno de la aplicación consumidora utilizando el nombre de archivo proporcionado por la aplicación servidora”.
Esto le daría a un atacante la oportunidad de crear una aplicación fraudulenta que puede enviar archivos con nombres maliciosos directamente a la aplicación receptora (o al destino para compartir archivos) sin el conocimiento o autorización del usuario, dijo Microsoft. Los objetivos comunes para compartir archivos incluyen clientes de correo electrónico, aplicaciones de mensajería, aplicaciones de red, navegadores y editores de archivos. Cuando un objetivo compartido recibe un nombre de archivo malicioso, utiliza ese nombre para inicializar el archivo e iniciar un proceso que podría potencialmente comprometer la aplicación, dijo Microsoft.
El impacto potencial depende de los detalles de implementación de su aplicación de Android. En algunos casos, un atacante podría usar una aplicación maliciosa para anular la configuración de una aplicación receptora, obligándola a comunicarse con un servidor controlado por el atacante o compartir el token de autenticación de un usuario u otros datos existentes. Una aplicación maliciosa también podría sobrescribir las bibliotecas nativas de la aplicación receptora con código malicioso, lo que podría permitir la ejecución de código arbitrario. “Debido a que las aplicaciones maliciosas controlan los nombres y contenidos de los archivos, confiar ciegamente en esta entrada puede hacer que lo que se comparte sobrescriba archivos importantes en áreas de datos privadas, con graves consecuencias”, dijo Microsoft.
Tanto Microsoft como Google han brindado consejos a los desarrolladores sobre cómo solucionar este problema. Los usuarios finales, por otro lado, pueden reducir el riesgo manteniendo actualizadas las aplicaciones de Android e instalando únicamente aplicaciones de fuentes confiables.
Fuente: https://www.darkreading.com/cloud-security/billions-android-devices-open-dirty-stream-attack
