martes, 15 de abril de 2014

Investigadores consiguen saltar el escáner de huellas digitales del Samsung Galaxy S5

Al igual que el iPhone 5s, el nuevo Samsung Galaxy S5 tiene un lector de huellas digitales que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras a través de diferentes aplicaciones. Y al igual que con el iPhone 5s, pocos días después de su comercialización, ya se ha descubierto una forma de saltar esta protección del nuevo modelo de Samsung.

Investigadores de la empresa alemana SRLabs han utilizado un método muy similar al ya empleado anteriormente con el iPhone 5s. Mediante un molde en silicona de la huella autorizada han conseguido burlar la autenticación a través de este sistema biométrico. Además no solo han conseguido acceder al terminar mediante la huella falsificada, sino que mediante el mismo sistema han conseguido utilizar la aplicación de PayPal del dispositivo y autorizar transferencias sin necesidad de contraseña.

Han publicado un vídeo en el que muestran como han realizado todo el proceso.

Tal y como SRLabs destaca, el fallo no tiene porque residir necesariamente en el propio escáner sino que puede tratarse de la forma en que éste se ha implementado. Un factor importante es que el Samsung Galaxy S5 permite ilimitados intentos de autenticación, lo que permite probar una huella falsa tantas veces como haga falta para desbloquear el dispositivo.

Más información:

una-al-dia (22/09/2013) El grupo Chaos Computer Club consigue saltar el sistema TouchID del iPhone 5s


Antonio Ropero
Twitter: @aropero

lunes, 14 de abril de 2014

Vulnerabilidad en Android facilita la realización de ataques de phishing

Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.

Android Open Source Project (AOSP) clasifica los permisos en Android en varios niveles: "normal", "dangerous", "system", "signature" y " development". Los permisos normales se conceden automáticamente en la instalación, sin pedir aprobación explícita del usuario (aunque el usuario siempre puede revisar los permisos antes de instalar).

En la última versión de Android 4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos normales, el sistema solo muestra los permisos peligrosos. Si una aplicación solo solicita permisos normales, Android no los muestra al usuario. Sin embargo, FireEye ha descubierto que determinados permisos de la categoría "normal" pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos permisos una aplicación maliciosa puede modificar los icosos de la página principal de forma que lanzen aplicaciones o sitios web de phishing.

La aplicación maliciosa abusa del conjunto de permisos:
"com.android.launcher.permission.READ_SETTINGS" y "com.android.launcher.permission.WRITE_SETTINGS".
Estos dos permisos permiten a una aplicación consultar, insertar, eliminar o modificar todos los ajustes de la configuración del "Launcher" (lanzador), incluyendo la modificación e inserción de iconos. Estos dos permisos están etiquetados como "normal" desde la primera versión de Android.

Como prueba de concepto desarrollaron una aplicación que hacía uso de estos dos permisos para modificar iconos legítimos de algunas aplicaciones sensibles para redirigirlas a otros sitios web. Con lo que confirmaron el problema en un Nexus 7 con Android 4.4.2. Google Play no evitó que la aplicación fuera publicada y no se mostró ningún aviso al usuario al descargarla e instalarla. Tras las pruebas, eliminaron tanto las webs empleadas como la aplicación de Google Play. Por lo que nadie ha podido verse afectado.

FireEye también confirma que la vulnerabilidad no está limitada a dispositivos Android que ejecuten AOSP. También se ven afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod 4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.

Google ha reconocido la vulnerabilidad y ha distribuido un parche a sus sociosOEM. Sin embargo, tal y como ya avisan en FireEye muchos fabricantes que hacen uso de Android son lentos a la hora de adaptar las actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente para proteger a los usuarios.

Más información:

Occupy Your Icons Silently on Android

App Manifest/<permission>


Antonio Ropero
Twitter: @aropero