jueves, 31 de julio de 2014

Desmontan la seguridad de los USB

La mayoría de los usuarios se intercambian memorias USB sin problemas, aunque los profesionales de la seguridad conocemos los riesgos que puede acarrear y la cantidad de virus que suelen transmitirse a través de este medio. Pero se ha anunciado una nueva vulnerabilidad en el propio diseño de los USB podría permitir tomar el control de un sistema, incluso con todas las protecciones y medidas de seguridad posibles.

Los investigadores Karsten Nohl y Jakob Lell, han desarrollado una muestra de malware, bautizada como BadUSB, que muestra como la seguridad de los USB ha sido desmontada. Aunque tienen previsto mostrar todos sus descubrimientos en una conferencia en la próxima Black Hat USA, se ha realizado un adelanto a través de un artículo en la revista Wired.

Nohl y Lell han realizado ingeniería inversa sobre el firmware, tras lo que han conseguido instalar su malware en el propio firmware del USB, de esta forma puede pasar completamente inadvertido ante cualquier análisis o escaneo. El USB de esta forma podrá tomar el control del PC o dispositivo. Según afirman los dos investigares la solución no es sencilla, el tipo de problema que han encontrado es prácticamente imposible de contrarrestar a no ser que se bloquee el USB.

"Estos problemas no pueden ser parcheados,
estamos aprovechando la forma en
que están diseñados los USB
"

El principal descubrimiento reside en que el firmware USB, que existe en todos los dispositivos USB, puede ser reprogramado para ocultar algún código malicioso. El problema no solo se limita a memorias flash, "pendrives" o similares, en general cualquier dispositivo USB puede ser reprogramado: teclados, ratones, etc.

Uno de los problemas radica en que los dispositivos no tienen ningún tipo de firma de código, hash, o similar que permita comprobar que el firmware del dispositivo es el que debería ser y no se ha manipulado.


Más información:

Why the Security of USB Is Fundamentally Broken


Antonio Ropero
Twitter: @aropero

miércoles, 30 de julio de 2014

Una nueva vulnerabilidad en Android facilita la instalación de malware

Un fallo de diseño de Android podría permitir la instalación de cualquier aplicación sin necesidad de que el usuario de permisos especiales durante su instalación.

El problema, descubierto por la firma BlueBox Security, recibe el nombre de "Fake ID" debido a que permite al malware pasar credenciales falsas a Android, que falla al verificar cadenas de certificados de claves públicas de la firma criptográfica de la aplicación. En su lugar, Android otorga a la aplicación maliciosa todos los permisos de acceso de cualquier aplicación legítima.

Las aplicaciones Android deben estar firmadas para poder ser instaladas en el sistema, pero el certificado digital empleado para firmar no necesita estar emitido por una autoridad certificadora. Según la propia documentación de Android "es perfectamente admisible, y típico, que las aplicaciones Android usen certificados autofirmados".

Sin embargo, Android incluye incrustados en su código los certificados de diversos desarrolladores, para que las aplicaciones de estos desarrolladores tengan accesos y permisos especiales dentro del sistema operativo. Uno de estos certificados pertenece a Adobe, y permite a las aplicaciones firmadas o los certificados emitidos por ella inyectar código en otras aplicaciones Android. Este comportamiento puede deberse a que de esta forma se puede permitir a otras aplicaciones hacer uso del plug-in de Flash Player.

Sin embargo, un fallo en el proceso de validación de la cadena de certificados podría permitir a un atacante firmar una aplicación maliciosa con un certificado que parezca estar firmado por el certificado de Adobe incrustado, aunque no sea así. Siempre que el certificado de Adobe esté presente en la cadena de certificados de la aplicación, el sistema podrá tomar código de la aplicación e inyectarlo en otras aplicaciones instaladas. El código inyectado pasará a ser parte de las aplicaciones receptoras, heredando sus permisos, y con el mismo acceso a todos los datos de dichas aplicaciones.

El ataque afecta a las versiones de Android anteriores a la 4.4 (KitKat) y solo puede ser empleado sobre aplicaciones que usen el componente WebView, que se emplea para mostrar contenido web con el motor del navegador de Android.

BlueBox ha confirmado que notificó el problema a Google hace tres meses, y que se presentarán todos los detalles en una conferencia en la BlackHat USA 2014.

Google, por otra parte, ha confirmado que ya ha tomado medidas. Hace ya tiempo que dentro de Play Services se añadieron características y APIs que no requieren una actualización del firmware, por lo que para Google es un buen punto para evitar vulnerabilidades de este tipo. También se añadió la característica "Verificar aplicaciones" a Google Play Services como forma de escanear la aplicación antes de ser instalada. Google ha actualizado esta característica para comprobar que las aplicaciones no hacen uso de "Fake ID".

Más información:

Signing Your Applications

Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk

'Fake ID' and Android security [Updated]



Antonio Ropero
Twitter: @aropero