Grave vulnerabilidad de robo de clave de cifrado de Android afecta al 10 % de los dispositivos

Grave vulnerabilidad de robo de clave de cifrado de Android afecta al 10 % de los dispositivos

Grave vulnerabilidad de robo de clave de cifrado de Android afecta al 10 % de los dispositivos

Los investigadores han advertido sobre una vulnerabilidad presente en aproximadamente el 10% de los teléfonos Android que podría permitir a los atacantes obtener credenciales altamente confidenciales, incluidas claves criptográficas para ciertos servicios bancarios y redes privadas virtuales, así como códigos PIN o patrones utilizados para desbloquear dispositivos vulnerables.

La vulnerabilidad reside en Android KeyStore, una región altamente sensible del sistema operativo creada por Google dedicada a almacenar claves criptográficas y credenciales similares, según un aviso publicado esta semana por investigadores de seguridad de IBM. Al explotar el error, los atacantes pueden ejecutar un código malicioso que filtra las claves utilizadas por los bancos y otras aplicaciones confidenciales, los servicios de redes privadas virtuales y los PIN o patrones de dedos utilizados para desbloquear teléfonos. El aviso establece que Google corrigió el desbordamiento del búfer basado en la pila solo en la versión de Android 4.4, también conocida como KitKat. Las versiones restantes, que según Google ejecutan el 86,4% de los dispositivos, no tienen esa solución. En una actualización, IBM dijo que la vulnerabilidad solo afecta a la versión 4.3, que funciona en aproximadamente el 10,3% de los teléfonos.

Hay varios obstáculos técnicos que un atacante debe superar para explotar con éxito la vulnerabilidad. Android se ve reforzado por las protecciones de software modernas, que incluyen la prevención de ejecución de datos y la aleatorización del diseño del espacio de direcciones, que tienen como objetivo hacer que sea mucho más difícil para los piratas informáticos ejecutar código cuando identifican errores de seguridad. Los atacantes también necesitarían tener una aplicación instalada en un teléfono vulnerable. Aún así, la vulnerabilidad es grave porque reside en KeyStore, posiblemente uno de los recursos más sensibles del sistema operativo Android. En un correo electrónico, Dan Wallach, profesor especializado en seguridad de Android en el Departamento de Ciencias de la Computación de la Universidad de Rice, explicó:

Publicidad

Por lo general, así es como las aplicaciones almacenarán sus credenciales de autenticación, por lo que si puede comprometer KeyStore, puede iniciar sesión como usuario de teléfono en cualquier servicio donde tengan una aplicación correspondiente o, al menos, una aplicación que recuerde quién es usted y le permite vuelves a iniciar sesión sin introducir una contraseña. Esto significa que la mayoría de las aplicaciones bancarias, que requieren que ingrese su contraseña cada vez, probablemente sean inmunes a este ataque en particular.

Por lo tanto, la cantidad de daño que puede causar tiene mucho que ver con las aplicaciones que permite que el atacante comprometa. Si el atacante puede comprometer su cuenta de Twitter, entonces sí, puede arrojar spam en su nombre. No muy emocionante. Si el atacante puede acercarse a su dinero, se vuelve más interesante. Del mismo modo, para las empresas que cargan credenciales de VPN en su teléfono, para que pueda conectarse a través de su firewall a sus servicios internos, podría haber una variedad de ataques desagradables, ya que efectivamente le ha dado al atacante las claves para atravesar el firewall.

Pau Oliva, ingeniero senior de seguridad móvil de viaForensics, dijo que la vulnerabilidad podría plantear otras amenazas, ya que permite a los atacantes acceder al recurso de Android que realiza operaciones criptográficas sensibles.

“Un usuario malicioso que explote esta vulnerabilidad podría generar, firmar y verificar la clave RSA en nombre del propietario del teléfono inteligente”, dijo Oliva a Ars.

Además de eliminar la vulnerabilidad en la versión 4.4 de Android, no sería sorprendente que Google ofreciera protecciones adicionales a través del servicio Bouncer que rastrea Google Play en busca de aplicaciones maliciosas. Presumiblemente, no sería difícil introducir un código que examine de cerca las aplicaciones que involucran KeyStore. Nuevamente, las aplicaciones maliciosas y abusivas eluden regularmente el filtro de protección de Bouncer, y los piratas informáticos del pasado han identificado las principales debilidades de Bouncer. Se insta nuevamente a los usuarios de Android que confían en sus dispositivos para administrar su dinero y almacenar información confidencial a revisar detenidamente las aplicaciones antes de instalarlas y a pensar detenidamente antes de instalar aplicaciones disponibles en mercados que no sean Google Play.

Imagen publicitaria: Listener42 (remezclada)

Publicación actualizada el 30 de junio para corregir el porcentaje de teléfonos afectados. Es alrededor del 10,3 por ciento.

Deja un comentario

Tu dirección de correo electrónico no será publicada.