lunes, 20 de julio de 2009

Symbian firma criptográficamente como válido un troyano

Symbian Foundation ha admitido que un troyano se ha colado en su proceso de validación de software y ha sido firmado criptográficamente para ejecutarse en su sistema operativo, lo que garantiza que proviene de una fuente confiable y que tiene total acceso a los recursos del dispositivo que lo aloje.

El troyano en cuestión se hace llamar "Sexy Space". Craig Heath, jefe de seguridad de Symbian, admitió que este software pasó los controles y fue firmado digitalmente como "garantizado" por la propia Symbian. Symbian sigue el mismo proceso que muchas plataformas hoy en día (iPhone, Wii...): firma criptográficamente cada programa como garantía de que ha pasado unos mínimos controles de procedencia. El problema es que en ese proceso de comprobación de los programas, al parecer se ha colado un troyano y Symbian lo ha firmado como válido para ejecutarse en su sistema operativo. Cabe recordar que las firmas validan siempre la procedencia, (el firmante se hace responsable del contenido) pero la firma no garantiza cómo o qué hace exactamente un programa.

Lo extraño es que esto no haya ocurrido antes, teniendo en cuenta el proceso que sigue una aplicación para ser validada por Symbian. Primero lo analizan con un antivirus automáticamente. Una vez han pasado por esta prueba, solo algunas muestras aleatorias pasan a ser comprobadas por auditores humanos. Lo que ocurrió es que el troyano pasó desapercibido para los motores antivirus (lo que no es ninguna sorpresa) y no tuvo la "suerte" de pertenecer al grupo de programas analizados por auditores.

Symbian Foundation ha revocado la firma de esta pieza, con lo que en teoría, el sistema no permitiría la instalación de nuevas instancias del troyano. El problema es que la funcionalidad de actualizar firmas revocadas no está activa por defecto en Symbian, con lo que esta medida no tendrá mucho impacto.

A raíz de este incidente, Heath piensa que debe mejorar la auditoría "humana" en su proceso de firma. Pero debido al coste, no cree posible que puedan añadirse nuevos recursos en este sentido, sino mejorar los existentes. Interpretando sus palabras, esto puede implicar o bien que los empleados encargados de esta tarea trabajarán más horas, o que mejorar la auditoría "humana" pasa precisamente por automatizar aún más el proceso y que sea menos "humano", lo que llevaría quizás a otro tipo de problemas de seguridad. En cualquier caso Symbian se encuentra ante el mismo problema que las casas antivirus para clasificar malware, pues validar criptográficamente código, no es una tarea muy diferente a la que realizan los motores antivirus a la hora de identificar virus.

Sexy Space se expande por SMS, enviando enlaces a la lista de contactos con contenido pornográficos. Envía datos personales como el IMEI de teléfono a los atacantes, y la víctima deberá hacer frente a los gastos del envío de los mensajes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Q & A on "Sexy View" SMS worm
http://www.f-secure.com/weblog/archives/00001732.html

Symbian admits Trojan slip-up
http://news.cnet.com/8301-1009_3-10290212-83.html

No hay comentarios:

Publicar un comentario en la entrada