winsmel
21/07/13, 01:05:37
Hace un par de semanas, el compañero Segamalaga nos hablaba de una vulnerabilidad en Android, en el siguiente hilo está la información. (El tutorial para parchear lo encontraréis más abajo):
http://www.htcmania.com/showthread.php?t=643425
Hola compañeros, me gustaría informaros de un bug de seguridad descubierto en Android. Se supone que lo descubrieron en Febrero pero ha salido a la luz en los últimos días.
Voy a tratar de explicarlo para todos los públicos y según mis limitados conocimientos técnicos X-D (que alguien me corrija si me equivoco):
Cuando se instala una app, ésta lleva una llave criptográfica única que le otorga el desarrollador y que se mantiene aunque la actualices. Esto hace que el sistema la reconozca como válida.
Lo que hace el bug de seguridad encontrado es permitir obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida.
¿Para qué iba a querer nadie hacer esto? Muy fácil, para manipular una app legítima y meterle un troyano con la intención de obtener datos de los usuarios ya sean contraseñas (Google Play, Google Wallet, datos bancarios...) y obtener acceso 100% al terminal en cuestión sin que te des cuenta
Link con información: http://www.elandroidelibre.com/2013/07/revelado-un-fallo-de-seguridad-que-afecta-al-99-de-los-terminales-android.html
http://www.elandroidelibre.com/2013/07/como-funciona-el-ultimo-bug-de-seguridad-de-android-y-como-evitarlo.html
http://www.elandroidelibre.com/2013/07/el-peor-bug-de-seguridad-de-android-se-soluciono-en-febrero-pero-casi-nadie-ha-recibido-actualizacion.html
Por el momento hay un par de terminales según lo que se lee sobre el tema que ya vienen parcheados y que son el Galaxy S4 y el HTC One X (mi Xperia S con JB también está parcheado, pongo foto más abajo)
Resulta que la empresa de seguridad BlueBox (que ha sido la que informó sobre el tema) ha colgado en Google Play una app (gratis) para comprobar si tu dispositivo sufre el mencionado bug:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
He de decir que no hay que tirarse de los pelos ni apagar nuestros terminales hasta que lo arreglen :risitas:. Sólo hay que tener un poco de cabeza y seguir los consejos de uno de los links que hay más arriba y hacer uso de "buenas prácticas" que todo el mundo ya debe conocer:
-no instalar apps de sitios desconocidos o descargadas de cualquier sitio (páginas de enlaces, carpetas compartidas)
-tener mucho cuidado con markets alternativos estilo BlackMarkt, Apptoide...
Dicen que los componentes de el equipo Cyanogenmod ya han solucionado el bug y lo subirán implementado en las próximas nigthlies: http://review.cyanogenmod.org/#/c/45251/
Adjunto capturas de mi Xperia S con JB (ya parcheado gracias a Sony) y de mi Tab 2 con CM10.1 sin parchear.
Esta información está en el hilo de Segamalaga: http://www.htcmania.com/showthread.php?t=643425
Por cierto, dejo esto, me parece interesante:
Aplicaciones de Android que explotan el fallo "master key" han sido encontradas en Google Play - (Bitdefender):
http://www.hotforsecurity.com/blog/masterkey-hack-applications-spotted-in-the-play-store-6607.html
http://news.softpedia.es/Aplicaciones-de-Android-que-explotan-el-fallo-quot-master-key-quot-han-sido-encontradas-en-Google-Play-369160.html
Mientras tanto, los expertos de Bitdefender han descubierto un par de aplicaciones bastante populares en Google Play que explotan la vulnerabilidad. Las aplicaciones en cuestión son Rose Wedding Cake Game (Más de 10.000 descargas) y Pirates Island Mahjong Free (Más de 5.000 descargas), ambas de las cuales han sido actualizadas a mediados de mayo.
Sin embargo, en este caso, el error no es aprovechado con fines maliciosos.
"Las aplicaciones contienen dos archivos PNG duplicados que forman parte de la interfaz del juego. Esto significa que las aplicaciones no ejecutan código malicioso – simplemente están exponiendo el error de Android para sobrescribir un archivo de imagen en el paquete, probablemente por error", explicó Bogdan Botezatu de Bitdefender en HotforSecurity:
http://www.bitdefender.com/presscenter/people/
"En contraste, la explotación malintencionada de este fallo se centra en reemplazar el código de la aplicación", señaló.
Aunque las aplicaciones no son maliciosas, el descubrimiento muestra que las aplicaciones que aprovechan la vulnerabilidad de firma criptográfica no levantan sospechas al ser publicadas en Google Play.
http://www.hotforsecurity.com/blog/masterkey-hack-applications-spotted-in-the-play-store-6607.html
Google ya ha parcheado la vulnerabilidad y parece que los OEMs también están trabajando en ello. Sin embargo, debido a la fragmentación de Android, tomará algún tiempo hasta que el parche llegue a los usuarios finales.
Por eso, los dueños de dispositivos con Android deben considerar las alternativas. Por ejemplo, los usuarios de CyanogenMod ya están protegidos contra la explotación.
Duo Security ha lanzado una aplicación llamada ReKey que está diseñada para eliminar la vulnerabilidad en dispositivos arraigados. Además, Bitdefender y otros proveedores de soluciones de seguridad han actualizado sus productos móviles para Android para asegurarse de que detecten las aplicaciones que abusan del fallo “master key”.
First Malicious Use of 'Master Key' Android Vulnerability Discovered - (Norton):
http://www.symantec.com/connect/blogs/first-malicious-use-master-key-android-vulnerability-discovered
Master Keys and Vulnerabilities - (Kaspersky):
http://www.securelist.com/en/blog/9107/Master_Keys_and_Vulnerabilities
--------------------------------------------------------------------------
Pues bien, hace unos dias ha salido a la luz una nueva vulnerabilidad(Bug 9695860), se puede comprobar con Bluebox o también con SRT AppScanner, para parchearla podemos usar Xposed(necesario Root) y el módulo (Master Key Dual Fix) o en su defecto ReKey, parchean ambos bugs, más información en XDA, y tutorial abajo en este mismo post:
http://forum.xda-developers.com/showthread.php?t=2365294
Bug 9695860:
https://android.googlesource.com/platform/libcore/+/9edf43dfcc35c761d97eb9156ac4254152ddbc55
https://android.googlesource.com/platform/libcore/+log/9edf43dfcc35c761d97eb9156ac4254152ddbc55
http://review.cyanogenmod.org/#/c/45411/
Bluebox Security Scanner:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
SRT AppScanner:
https://play.google.com/store/apps/details?id=de.backessrt.appintegrity
--------------------------------------------------------------------------
Tutorial para parchear las vulnerabilidades encontradas hasta ahora:
Las vulnerabilidades las están corrigiendo portando el código de las últimas versiones de Android que Google y los fabricantes están lanzando parcheadas, son parches provisionales, pero es mejor que nada, ya que Google de momento no se ha molestado en lanzar un parche universal, para versiones antiguas, ha dado la solución a los fabricantes y son ellos los que tiene que poner medios, como algunos no lo hacen, mejor que hayan personas en la comunidad y empresas de seguridad que intenten portarlas para parchear.
Antes de usar Xposed, siempre es recomendable hacer o tener un Nandroid Backup a mano.
Empezamos con el tutorial para Xposed y el módulo Master Key Dual Fix (quien tenga problemas con Xposed y el módulo, que use ReKey para parchear, la encontrará más abajo):
Necesario acceso Root: Instalar Master Key Dual Fix y activarlo en Xposed:
Nos vamos a XDA en el siguiente enlace:
http://forum.xda-developers.com/showthread.php?t=1574401
Descargamos Xposedinstaller_2.1.4.apk que hay como adjunto.
Instalamos Xposed, lo abrimos y le damos a "Install/Update", y reiniciamos dándole a Reboot.
Descargamos e instalamos el modulo Master Key Dual Fix desde Google Play Store:
https://play.google.com/store/apps/details?id=tungstwenty.xposed.masterkeydualfix
Ahora volvemos a ejecutar Xposed, nos vamos a la pestaña Modules y activamos Master Key Dual Fix.
Por último escaneamos con los dos Scanners para ver que hemos parcheado los bugs:
Bluebox Security Scanner:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
SRT AppScanner:
https://play.google.com/store/apps/details?id=de.backessrt.appintegrity
Y para quien tenga problemas con el módulo y Xposed puede parchear con "ReKey" (necesario Root):
https://play.google.com/store/apps/details?id=io.rekey.rekey&hl=es
http://www.htcmania.com/showthread.php?t=646996
A continuación dejo unas capturas:
338498
338499
338500
http://www.htcmania.com/showthread.php?t=643425
Hola compañeros, me gustaría informaros de un bug de seguridad descubierto en Android. Se supone que lo descubrieron en Febrero pero ha salido a la luz en los últimos días.
Voy a tratar de explicarlo para todos los públicos y según mis limitados conocimientos técnicos X-D (que alguien me corrija si me equivoco):
Cuando se instala una app, ésta lleva una llave criptográfica única que le otorga el desarrollador y que se mantiene aunque la actualices. Esto hace que el sistema la reconozca como válida.
Lo que hace el bug de seguridad encontrado es permitir obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida.
¿Para qué iba a querer nadie hacer esto? Muy fácil, para manipular una app legítima y meterle un troyano con la intención de obtener datos de los usuarios ya sean contraseñas (Google Play, Google Wallet, datos bancarios...) y obtener acceso 100% al terminal en cuestión sin que te des cuenta
Link con información: http://www.elandroidelibre.com/2013/07/revelado-un-fallo-de-seguridad-que-afecta-al-99-de-los-terminales-android.html
http://www.elandroidelibre.com/2013/07/como-funciona-el-ultimo-bug-de-seguridad-de-android-y-como-evitarlo.html
http://www.elandroidelibre.com/2013/07/el-peor-bug-de-seguridad-de-android-se-soluciono-en-febrero-pero-casi-nadie-ha-recibido-actualizacion.html
Por el momento hay un par de terminales según lo que se lee sobre el tema que ya vienen parcheados y que son el Galaxy S4 y el HTC One X (mi Xperia S con JB también está parcheado, pongo foto más abajo)
Resulta que la empresa de seguridad BlueBox (que ha sido la que informó sobre el tema) ha colgado en Google Play una app (gratis) para comprobar si tu dispositivo sufre el mencionado bug:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
He de decir que no hay que tirarse de los pelos ni apagar nuestros terminales hasta que lo arreglen :risitas:. Sólo hay que tener un poco de cabeza y seguir los consejos de uno de los links que hay más arriba y hacer uso de "buenas prácticas" que todo el mundo ya debe conocer:
-no instalar apps de sitios desconocidos o descargadas de cualquier sitio (páginas de enlaces, carpetas compartidas)
-tener mucho cuidado con markets alternativos estilo BlackMarkt, Apptoide...
Dicen que los componentes de el equipo Cyanogenmod ya han solucionado el bug y lo subirán implementado en las próximas nigthlies: http://review.cyanogenmod.org/#/c/45251/
Adjunto capturas de mi Xperia S con JB (ya parcheado gracias a Sony) y de mi Tab 2 con CM10.1 sin parchear.
Esta información está en el hilo de Segamalaga: http://www.htcmania.com/showthread.php?t=643425
Por cierto, dejo esto, me parece interesante:
Aplicaciones de Android que explotan el fallo "master key" han sido encontradas en Google Play - (Bitdefender):
http://www.hotforsecurity.com/blog/masterkey-hack-applications-spotted-in-the-play-store-6607.html
http://news.softpedia.es/Aplicaciones-de-Android-que-explotan-el-fallo-quot-master-key-quot-han-sido-encontradas-en-Google-Play-369160.html
Mientras tanto, los expertos de Bitdefender han descubierto un par de aplicaciones bastante populares en Google Play que explotan la vulnerabilidad. Las aplicaciones en cuestión son Rose Wedding Cake Game (Más de 10.000 descargas) y Pirates Island Mahjong Free (Más de 5.000 descargas), ambas de las cuales han sido actualizadas a mediados de mayo.
Sin embargo, en este caso, el error no es aprovechado con fines maliciosos.
"Las aplicaciones contienen dos archivos PNG duplicados que forman parte de la interfaz del juego. Esto significa que las aplicaciones no ejecutan código malicioso – simplemente están exponiendo el error de Android para sobrescribir un archivo de imagen en el paquete, probablemente por error", explicó Bogdan Botezatu de Bitdefender en HotforSecurity:
http://www.bitdefender.com/presscenter/people/
"En contraste, la explotación malintencionada de este fallo se centra en reemplazar el código de la aplicación", señaló.
Aunque las aplicaciones no son maliciosas, el descubrimiento muestra que las aplicaciones que aprovechan la vulnerabilidad de firma criptográfica no levantan sospechas al ser publicadas en Google Play.
http://www.hotforsecurity.com/blog/masterkey-hack-applications-spotted-in-the-play-store-6607.html
Google ya ha parcheado la vulnerabilidad y parece que los OEMs también están trabajando en ello. Sin embargo, debido a la fragmentación de Android, tomará algún tiempo hasta que el parche llegue a los usuarios finales.
Por eso, los dueños de dispositivos con Android deben considerar las alternativas. Por ejemplo, los usuarios de CyanogenMod ya están protegidos contra la explotación.
Duo Security ha lanzado una aplicación llamada ReKey que está diseñada para eliminar la vulnerabilidad en dispositivos arraigados. Además, Bitdefender y otros proveedores de soluciones de seguridad han actualizado sus productos móviles para Android para asegurarse de que detecten las aplicaciones que abusan del fallo “master key”.
First Malicious Use of 'Master Key' Android Vulnerability Discovered - (Norton):
http://www.symantec.com/connect/blogs/first-malicious-use-master-key-android-vulnerability-discovered
Master Keys and Vulnerabilities - (Kaspersky):
http://www.securelist.com/en/blog/9107/Master_Keys_and_Vulnerabilities
--------------------------------------------------------------------------
Pues bien, hace unos dias ha salido a la luz una nueva vulnerabilidad(Bug 9695860), se puede comprobar con Bluebox o también con SRT AppScanner, para parchearla podemos usar Xposed(necesario Root) y el módulo (Master Key Dual Fix) o en su defecto ReKey, parchean ambos bugs, más información en XDA, y tutorial abajo en este mismo post:
http://forum.xda-developers.com/showthread.php?t=2365294
Bug 9695860:
https://android.googlesource.com/platform/libcore/+/9edf43dfcc35c761d97eb9156ac4254152ddbc55
https://android.googlesource.com/platform/libcore/+log/9edf43dfcc35c761d97eb9156ac4254152ddbc55
http://review.cyanogenmod.org/#/c/45411/
Bluebox Security Scanner:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
SRT AppScanner:
https://play.google.com/store/apps/details?id=de.backessrt.appintegrity
--------------------------------------------------------------------------
Tutorial para parchear las vulnerabilidades encontradas hasta ahora:
Las vulnerabilidades las están corrigiendo portando el código de las últimas versiones de Android que Google y los fabricantes están lanzando parcheadas, son parches provisionales, pero es mejor que nada, ya que Google de momento no se ha molestado en lanzar un parche universal, para versiones antiguas, ha dado la solución a los fabricantes y son ellos los que tiene que poner medios, como algunos no lo hacen, mejor que hayan personas en la comunidad y empresas de seguridad que intenten portarlas para parchear.
Antes de usar Xposed, siempre es recomendable hacer o tener un Nandroid Backup a mano.
Empezamos con el tutorial para Xposed y el módulo Master Key Dual Fix (quien tenga problemas con Xposed y el módulo, que use ReKey para parchear, la encontrará más abajo):
Necesario acceso Root: Instalar Master Key Dual Fix y activarlo en Xposed:
Nos vamos a XDA en el siguiente enlace:
http://forum.xda-developers.com/showthread.php?t=1574401
Descargamos Xposedinstaller_2.1.4.apk que hay como adjunto.
Instalamos Xposed, lo abrimos y le damos a "Install/Update", y reiniciamos dándole a Reboot.
Descargamos e instalamos el modulo Master Key Dual Fix desde Google Play Store:
https://play.google.com/store/apps/details?id=tungstwenty.xposed.masterkeydualfix
Ahora volvemos a ejecutar Xposed, nos vamos a la pestaña Modules y activamos Master Key Dual Fix.
Por último escaneamos con los dos Scanners para ver que hemos parcheado los bugs:
Bluebox Security Scanner:
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
SRT AppScanner:
https://play.google.com/store/apps/details?id=de.backessrt.appintegrity
Y para quien tenga problemas con el módulo y Xposed puede parchear con "ReKey" (necesario Root):
https://play.google.com/store/apps/details?id=io.rekey.rekey&hl=es
http://www.htcmania.com/showthread.php?t=646996
A continuación dejo unas capturas:
338498
338499
338500