jueves, 30 de julio de 2015

Android, no se vayan todavía que aun hay más

No son buenas fechas para Android, hace unos días nos desayunábamos con la noticia del "Apocalipsis" Androide por la vulnerabilidad StageFright que podía provocar el compromiso del dispositivo solo con recibir un vídeo malicioso. Ahora nos encontramos con una nueva vulnerabilidad en el tratamiento de vídeo MKV que podría inutilizar el dispositivo.
El problema, descubierto porinvestigadores de Trend Micro, podría dejar el dispositivo (móvil o tableta) aparentemente muerto: en silencio, sin posibilidad de realizar llamadas y sin respuesta de la pantalla. La vulnerabilidad afecta a sistemas con Android 4.3 (Jelly Bean) hasta la versión más actual, Android 5.1.1 (Lollipop).

Según el equipo de investigadores la vulnerabilidad fue reportada a finales de mayo, pero a esta fecha el equipo Android Engineering Team no ha publicado ninguna actualización en el código del Android Open Source Project (AOSP).

La vulnerabilidad reside en un desbordamiento de entero en el servicio Mediaserver, empleado por Android para indexar los archivos multimedia del dispositivo. Este servicio no puede tratar adecuadamente vídeos maliciosos en formato Matroska (generalmente con extensión MKV). Cuando el proceso abre un archivo MKV específicamente manipulado, el servicio se detendrá y con él, todo el sistema operativo.

Vídeo en que se muestran los efectos de la vulnerabilidad.

La vulnerabilidad puede explotarse de dos formas, bien a través de una aplicación maliciosa instalada en el dispositivo o de un sitio web específicamente creado. En ambos casos, tanto la aplicación, como el sitio web, tratarán de reproducir el vídeo malicioso provocando la caída del sistema.

Será necesario apagar el móvil y volverlo a encender para recuperar la funcionalidad, pero el problema puede ser mucho más grave si la aplicación con el archivo MKV incrustado se registra para iniciarse en cada inicio del dispositivo. Lo que llevará al bloqueo del sistema cada vez que se encienda el móvil.  Día de la marmota versión Android.
 
En ese caso será necesario iniciar el dispositivo en "modo seguro" y desinstalar la aplicación maliciosa (probablemente la última o una de las últimas instaladas).

El inicio en modo seguro dependerá del dispositivo:
Iniciar en modo seguro en Nexus, Sony, LG, HTC…
Mantener pulsado el botón de apagado hasta que aparezca la ventana con el menú de apagar, en ese menú mantener pulsado el botón de apagar hasta que muestre una nueva ventana. Aceptar que el teléfono se reinicie en modo seguro.
Iniciar modo seguro en Samsung y algunos LG y HTC…
Apagar completamente el dispositivo y arrancarlo de nuevo. Cuando aparezca la pantalla del fabricante mantener pulsado el botón de bajar volumen hasta que termine de arrancar.
En cualquier caso aparecerá "Modo seguro" en la esquina inferior izquierda de la pantalla.

Más información:

Trend Micro Discovers Vulnerability That Renders Android Devices Silent
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-vulnerability-that-renders-android-devices-silent/

una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide




Antonio Ropero

Twitter: @aropero

miércoles, 29 de julio de 2015

Apple iTunes y App Store, las facturas no son buenas

Cuando vemos una factura echamos a temblar, algo parecido le ha pasado a Apple. En este caso la factura no solo representaba un peligro para el bolsillo. Una vulnerabilidad en el sistema de facturación de iTunes y App Store podía permitir el secuestro de sesión, ataques de phishing persistente, redirección a fuentes externas y la manipulación persistente de módulos de servicio afectados o conectados.

El problema fue descubierto por el investigador de seguridad Benjamin Kunz Mejri de Vulnerability Lab que lo comunicó de forma responsable a Apple, que ya lo ha solucionado. De tal forma que el investigador a publicado los detalles y la prueba de concepto, incluyendo un vídeo en el que muestra el problema.

El problema reside en una vulnerabilidad de validación de entradas en las aplicaciones web oficiales de los servicios online de la App Store como de iTunes Store de Apple. La vulnerabilidad podría permitir a atacantes remotos inyectar su propio código script malicioso en la aplicación.

Apple iTunes y App Store toman el nombre del dispositivo del usuario que realiza la compra. Pero un atacante remoto puede manipular el valor del nombre mediante un cambio con código script. Después el atacante podrá comprar cualquier artículo de la App Store o de iTunes.

Durante este procedimiento el servicio toma el valor del dispositivo y lo codifica con condiciones incorrectas. En el contexto de la cuenta del vendedor se ejecuta el código script inyectado implementado erróneamente en la factura. De esta forma se obtiene la ejecución de código script en la factura de Apple.

Los atacantes remotos pueden manipular el bug mediante la interacción a través de contextos persistentes manipulados a otras cuentas de usuario de Apple Store. La factura se presenta a ambas partes (comprador y vendedor) lo que representa un riesgo significativo para los compradores, vendedores o para los desarrolladores o administradores de Apple.

No se ha confirmado exactamente cuando Apple corrigió el problema, pero considerando que la actualización más reciente de iTunes fue el pasado 30 de junio, podemos pensar que fue en ese momento cuando se solucionó.

Más información:

Apple iTunes & AppStore - Persistent Invoice Vulnerability



Antonio Ropero
Twitter: @aropero