¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Nubosidad de Android

Туманность Андроида

Otras ediciones de este tema (23)
  • añadir a favoritos
    Añadir a marcadores

Una noticia muy ordinaria

Consultas: 1353 Comentarios: 9 Ranking: 15

martes, 18 de junio de 2019

Los expertos de Doctor Web siempre están trabajando para mejorar los productos antivirus Dr.Web. Nuestros lectores están acostumbrados a las noticias sobre las actualizaciones que parecen rutinarias. Pero muchas veces una noticia ordinaria sobre alguna mejora significa bastante mejoras de seguridad de usuarios.

En la nueva versión de la aplicación se realizaron las mejoras siguientes:

  • Mejorada la detección de las características de infección en las aplicaciones instaladas anteriormente.
  • Implementada la detección de las aplicaciones infectadas comprimidas con Bangcle, Secshell y la nueva versión de Tencent.

Esta noticia acompañó otra actualización del Antivirus Dr.Web para Android Light (hasta la versión 11.2.2). Al parecer, ¿qué hay de importante en la información sobre la mejora del análisis de las aplicaciones anteriormente instaladas? Y en realidad hemos corregido un error bastante interesante (que no era nuestro).

Como sabemos, el rol de las extensiones de archivos en los sistemas operativos Windows, por una parte, y en Linux y Android, por otra parte, es distinto. En el SO Windows las extensiones detectan qué aplicación procesará un archivo con una extensión determinada. Aunque, por supuesto, una vez iniciado el proceso de procesamiento, el archivo igual será analizado en busca de posibilidades de su procesamiento. En otras palabras, si Vd. cambia la extensión del archivo exe por la del archivo txt, por supuesto, será posible iniciarlo, pero será más complicado hacerlo. En otros SO la extensión puede ser usada, pero sirve más de información para usuarios. El archivo abierto/iniciado se analiza por el sistema y, en función de los resultados del análisis de su estructura, para el mismo se busca una aplicación que lo procesará.

Otra cosa muy importante. Como sabemos, los archivos pueden ser firmados. Pero frecuentemente no se firma todo el archivo, sino solo una parte del mismo. Los objetivos pueden ser distintos. Por ejemplo, si un archivo es grande, el cálculo de la suma de comprobación puede llevar mucho tiempo. O una parte del archivo contiene datos importantes que firmamos, y la parte informativa del archivo contiene los datos sobre el contenido y puede ser generada ya una vez firmado.

En estas peculiaridades se basa la vulnerabilidad CVE-2017-13156, llamada Janus. Le permite al malintencionado implementar un código nocivo en las aplicaciones sin afectar la parte firmada del archivo.

Los ciberdelincuentes aprovecharon de esta posibilidad perfecta y luego apareció un troyano que puede infectar las aplicaciones instaladas usando la vulnerabilidad mencionada.

La arquitectura de Android supone que todos los desarrolladores deben firmar sus aplicaciones. Al instalar actualizaciones, el sistema comprueba su firma digital, y, si la misma coincide con la versión ya existente, la actualización se instala.

La vulnerabilidad Janus permite implementar en el archivo APK, un archivo archivado, un archivo modificado ejecutable DEX que no afecta la firma digital. En otras palabras, usando Janus los malintencionados pueden suplantar el archivo ejecutable de la aplicación por una copia nociva manteniendo todos los permisos de sistema del archivo original. Y el mismo será instalado e iniciado en el dispositivo vulnerable sin ningún problema.

Esta vulnerabilidad afecta solo a las aplicaciones que usan la firma digital basada en JAR que en Android 7.0 Nougat fue sustituida por la nueva tecnología Signature Scheme v2. En las nuevas versiones de Android son vulnerables solo las aplicaciones que no usan la tecnología actual de la firma digital, así como los programas descargados e instalados no del catálogo oficial Google Play. Las siguientes versiones del Android son vulnerables: 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0.

Fuente

¿Por qué Janus? Porque tiene varias caras.

El archivo APK usado en Android contiene los archivos zip y los bytes aleatorios al principio, antes de las entradas zip y entre las mismas. La firma JAR toma en consideración solo los archivos internos zip, pero no los bytes extra. Pero un archivo DEX puede contener los bytes aleatorios al final. El esquema queda claro: el archivo puede ser al mismo tiempo un archivo APK, y un archivo DEX!

En teoría, el entorno de ejecución Android carga el archivo APK, extrae su archivo DEX y luego inicia su código. En la práctica, la máquina virtual puede cargar y ejecutar tanto los archivos APK como los archivos DEX. Cuando el mismo recibe un archivo APK, se fija en los bytes del encabezado para decidir, qué tipo de archivo es. Si encuentra el encabezado DEX, carga el archivo como un archivo DEX. En otro caso, carga el archivo como un archivo APK que contiene una entrada zip con un archivo DEX.

Fuente

¿Cómo pueden usar esta vulnerabilidad los malintencionados?

Cuando un usuario carga la actualización de la aplicación, el entorno de ejecución Android compara su firma a la firma de la versión inicial. Si las firmas coinciden, el entorno de ejecución Android continúa con la instalación de la actualización. La aplicación actualizada hereda los permisos de la aplicación inicial. Por eso los malintencionados pueden usar la vulnerabilidad Janus para afectar al proceso de actualización y obtener un código no comprobado con permisos importantes instalados en los dispositivos de los usuarios que no se percatan de nada.

Un malintencionado puede sustituir una aplicación de confianza con muchos privilegios (por ejemplo, una aplicación de sistema) por la actualización modificada para abusar de sus permisos. En función de sus objetivos, esto puede permitirle al hacker acceder a la información confidencial que se almacena en el dispositivo o hasta controlar completamente el dispositivo. Como alternativa, un malintencionado puede transferir un clon modificado de la aplicación sensible como actualización legal, por ejemplo, en un contexto bancario o de comunicación. La aplicación clonada puede parecer y funcionar como si fuera una aplicación original, pero también tiene comportamiento nocivo.

Para descargar el código nocivo se usaя CVE-2017-13315 – una vulnerabilidad del grupo EvilParcel. En la siguiente edición informaremos más sobre la misma.

#Android #móvil #firma_digital #vulnerabilidad #exploit #actualizaciones_de_seguridad

El mundo de antivirus recomienda

Si el Antivirus Dr.Web para Android detecta esta vulnerabilidad, se recomienda contactar al productor del dispositivo para recibir las actualizaciones correspondientes del sistema operativo.

Fuente

¡Instale las actualizaciones!

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios