miércoles, 9 de julio de 2014

Nuevas vulnerabilidades en Android pueden arruinarte

Se han anunciado dos nuevas vulnerabilidades en sistemas Android (anteriores a la versión 4.4.4) que podría permitir a una aplicación maliciosa realizar llamadas a números de tarificación especial sin que el usuario se percate de ello y aun sin permisos para ello.

Las dos vulnerabilidades, muy similares entre sí, han sido anunciadas por Curesec. El primero de los problemas, con CVE-2013-6272, aparece en Android 4.1.1 Jelly Bean y se presenta en todas las versiones hasta Android 4.4.2 KitKat. Reside en com.android.phone y todo parece indicar que se ha corregido en la última versión 4.4.4.

Por otra parte, una segunda vulnerabilidad (sin CVE asignado todavía) en com.android.contacts solo está presente en las versiones Android 2.3.3 y 2.3.6. Ambas vulnerabilidades son explotables de la misma forma con idénticos resultados.

Los dos problemas podrían permitir a una aplicación maliciosa evitar los permisos de Android y permitir la realización de llamadas telefónicas o enviar códigos USSD (Unstructured Supplementary Service Data). Los códigos USSD, son códigos específicos de las operadoras que permiten el desvío de llamadas, bloquear tarjetas SIM, cambiar opciones de anonimato de llamada, etc.

Las acciones maliciosas se realizarían sin autorización, intervención ni conocimiento del usuario. Y podrían permitir que una aplicación realice llamadas a cualquier número de teléfono (incluidos los de tarificación especial). Esto podría llevar a que el usuario se encuentre con la consiguiente sobrecarga en su factura telefónica.

Se puede saber que versión de Android tiene un dispositivo se puede consultar el menú Ajustes/Acerca del teléfono/Versión de Android.

Curesec ha publicado una aplicación como prueba de concepto que puede permitir a un usuario comprobar si su dispositivo es vulnerable.

Más información:

CVE-2013-6272 com.android.phone

CVE-2014-N/A com.android.contacts


Antonio Ropero
Twitter: @aropero

4 comentarios:

  1. Muchas gracias por vuestro excelente trabajo.
    Aunque sólo os lo agradezca de vez en cuando por escrito, lo hago cada día
    cuando os leo.
    Y sobre el asunto de hoy, el problema es cómo poder actualizar la versión
    de Android del Samsumg Galaxy S2 que tengo a la última que ha salido...
    Desde luego, mi próximo móvil será un Google, que se actualiza
    automáticamente.
    Saludos.

    ResponderEliminar
    Respuestas
    1. O instálale CyanogenMod y asume tú el control de tu propio móvil, sin esperar a que el fabricante "tenga a bien molestarse en actualizarlo" Si por ellos fuera, aún tendría Gingerbread.
      Mi Samsung Galaxy S corre Android 4.4.4 sin ningún tipo de problema, así que el tuyo tendría que volar! Y no es tan complicado. Tienen un wiki donde te lo explican todo.
      Un saludo

      Eliminar
  2. Siempre al tanto de sus publicaciones, saludos desde México.

    ResponderEliminar
  3. Muchas gracias.
    Mi problema es como el de kilouiski, ¿cómo actualizo la versión de Android (yo también tengo un samsung)?
    Aunque estuviera disponible, los usuarios de bajo nivel, como yo, nos da cierto canguele actualizar aplicaciones o eliminar apps que no nos son útiles (jeje)
    Saludos.

    ResponderEliminar