viernes, 26 de noviembre de 2010

Grave fallo de seguridad en Android 2.2

Se ha descubierto un fallo de seguridad en el sistema operativo para teléfonos Android 2.2 que podría permitir a un atacante obtener cualquier fichero del usuario almacenado en el teléfono si la víctima visita una web especialmente manipulada.

El fallo, descubierto por Thomas Cannon, reside en que el navegador, al visitar una página web, podría tener acceso a cualquier fichero del usuario siempre que conozca su ruta exacta. Esto no es problema, por
ejemplo, para obtener fotografías realizadas por el dispositivo, puesto que el nombre de archivo consta de un número incrementado secuencialmente. El atacante no puede acceder a ficheros de sistema porque el navegador corre dentro de una sandbox.

Para aprovechar este fallo, la víctima debe visitar un enlace. Éste, a través de JavaScript, podría obtener el fichero deseado y subirlo al servidor del atacante, por ejemplo. El descubridor ha eliminado de su blog (a petición de Google) los detalles técnicos del problema, pero básicamente describe que el fallo se da por una combinación de factores:

* El navegador de Android no pide permiso al usuario a la hora de descargar un fichero HTML. Se almacena automáticamente.

* Con JavaScript, es posible lanzar una vez descargado ese fichero y el
navegador lo procesa.

* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al
usuario y además será capaz de acceder a ficheros del usuario.

Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o utilicen un navegador alternativo como Opera. Este último confirma con el usuario antes de descargar un fichero.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Android Data Stealing Vulnerability
http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/

No hay comentarios:

Publicar un comentario en la entrada