[ ARTICULO ] Nueva vulnerabilidad en Android y nuevo parche - [Actualizado 27-07-2013] - Añadido tutorial para parchear

winsmel · 21/07/13, 01:05:37

Hace un par de semanas, el compañero Segamalaga nos hablaba de una vulnerabilidad en Android, en el siguiente hilo está la información. (El tutorial para parchear lo encontraréis más abajo):

http://www.htcmania.com/showthread.php?t=643425

(Click para mostrar/ocultar)

Cita:

Originalmente Escrito por Segamalaga

Hola compañeros, me gustaría informaros de un bug de seguridad descubierto en Android. Se supone que lo descubrieron en Febrero pero ha salido a la luz en los últimos días.

Voy a tratar de explicarlo para todos los públicos y según mis limitados conocimientos técnicos

(que alguien me corrija si me equivoco):

Cuando se instala una app, ésta lleva una llave criptográfica única que le otorga el desarrollador y que se mantiene aunque la actualices. Esto hace que el sistema la reconozca como válida.
Lo que hace el bug de seguridad encontrado es permitir obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida.
¿Para qué iba a querer nadie hacer esto? Muy fácil, para manipular una app legítima y meterle un troyano con la intención de obtener datos de los usuarios ya sean contraseñas (Google Play, Google Wallet, datos bancarios...) y obtener acceso 100% al terminal en cuestión sin que te des cuenta

Link con información: http://www.elandroidelibre.com/2013/...s-android.html

http://www.elandroidelibre.com/2013/...-evitarlo.html

http://www.elandroidelibre.com/2013/...alizacion.html

Por el momento hay un par de terminales según lo que se lee sobre el tema que ya vienen parcheados y que son el Galaxy S4 y el HTC One X (mi Xperia S con JB también está parcheado, pongo foto más abajo)

Resulta que la empresa de seguridad BlueBox (que ha sido la que informó sobre el tema) ha colgado en Google Play una app (gratis) para comprobar si tu dispositivo sufre el mencionado bug:

https://play.google.com/store/apps/d...onerootscanner

He de decir que no hay que tirarse de los pelos ni apagar nuestros terminales hasta que lo arreglen

. Sólo hay que tener un poco de cabeza y seguir los consejos de uno de los links que hay más arriba y hacer uso de "buenas prácticas" que todo el mundo ya debe conocer:

-no instalar apps de sitios desconocidos o descargadas de cualquier sitio (páginas de enlaces, carpetas compartidas)

-tener mucho cuidado con markets alternativos estilo BlackMarkt, Apptoide...

Dicen que los componentes de el equipo Cyanogenmod ya han solucionado el bug y lo subirán implementado en las próximas nigthlies: http://review.cyanogenmod.org/#/c/45251

Adjunto capturas de mi Xperia S con JB (ya parcheado gracias a Sony) y de mi Tab 2 con CM10.1 sin parchear.

Esta información está en el hilo de Segamalaga: http://www.htcmania.com/showthread.php?t=643425

Por cierto, dejo esto, me parece interesante:

Aplicaciones de Android que explotan el fallo "master key" han sido encontradas en Google Play - (Bitdefender):

http://www.hotforsecurity.com/blog/m...tore-6607.html

(Click para mostrar/ocultar)

http://news.softpedia.es/Aplicacione...ay-369160.html

Cita:

Mientras tanto, los expertos de Bitdefender han descubierto un par de aplicaciones bastante populares en Google Play que explotan la vulnerabilidad. Las aplicaciones en cuestión son Rose Wedding Cake Game (Más de 10.000 descargas) y Pirates Island Mahjong Free (Más de 5.000 descargas), ambas de las cuales han sido actualizadas a mediados de mayo.

Sin embargo, en este caso, el error no es aprovechado con fines maliciosos.

"Las aplicaciones contienen dos archivos PNG duplicados que forman parte de la interfaz del juego. Esto significa que las aplicaciones no ejecutan código malicioso – simplemente están exponiendo el error de Android para sobrescribir un archivo de imagen en el paquete, probablemente por error", explicó Bogdan Botezatu de Bitdefender en HotforSecurity:

http://www.bitdefender.com/presscenter/people

"En contraste, la explotación malintencionada de este fallo se centra en reemplazar el código de la aplicación", señaló.

Aunque las aplicaciones no son maliciosas, el descubrimiento muestra que las aplicaciones que aprovechan la vulnerabilidad de firma criptográfica no levantan sospechas al ser publicadas en Google Play.

http://www.hotforsecurity.com/blog/m...tore-6607.html

Google ya ha parcheado la vulnerabilidad y parece que los OEMs también están trabajando en ello. Sin embargo, debido a la fragmentación de Android, tomará algún tiempo hasta que el parche llegue a los usuarios finales.

Por eso, los dueños de dispositivos con Android deben considerar las alternativas. Por ejemplo, los usuarios de CyanogenMod ya están protegidos contra la explotación.

Duo Security ha lanzado una aplicación llamada ReKey que está diseñada para eliminar la vulnerabilidad en dispositivos arraigados. Además, Bitdefender y otros proveedores de soluciones de seguridad han actualizado sus productos móviles para Android para asegurarse de que detecten las aplicaciones que abusan del fallo “master key”.

First Malicious Use of 'Master Key' Android Vulnerability Discovered - (Norton):

http://www.symantec.com/connect/blog...ity-discovered

Master Keys and Vulnerabilities - (Kaspersky):

http://www.securelist.com/en/blog/91...ulnerabilities

--------------------------------------------------------------------------

Pues bien, hace unos dias ha salido a la luz una nueva vulnerabilidad(Bug 9695860), se puede comprobar con Bluebox o también con SRT AppScanner, para parchearla podemos usar Xposed(necesario Root) y el módulo (Master Key Dual Fix) o en su defecto ReKey, parchean ambos bugs, más información en XDA, y tutorial abajo en este mismo post:

http://forum.xda-developers.com/show....php?t=2365294

Bug 9695860:

(Click para mostrar/ocultar)

Bluebox Security Scanner:

https://play.google.com/store/apps/d...onerootscanner

SRT AppScanner:

https://play.google.com/store/apps/d...t.appintegrity

--------------------------------------------------------------------------

Tutorial para parchear las vulnerabilidades encontradas hasta ahora:

Las vulnerabilidades las están corrigiendo portando el código de las últimas versiones de Android que Google y los fabricantes están lanzando parcheadas, son parches provisionales, pero es mejor que nada, ya que Google de momento no se ha molestado en lanzar un parche universal, para versiones antiguas, ha dado la solución a los fabricantes y son ellos los que tiene que poner medios, como algunos no lo hacen, mejor que hayan personas en la comunidad y empresas de seguridad que intenten portarlas para parchear.

Antes de usar Xposed, siempre es recomendable hacer o tener un Nandroid Backup a mano.

Empezamos con el tutorial para Xposed y el módulo Master Key Dual Fix (quien tenga problemas con Xposed y el módulo, que use ReKey para parchear, la encontrará más abajo):

Necesario acceso Root: Instalar Master Key Dual Fix y activarlo en Xposed:

Nos vamos a XDA en el siguiente enlace:

http://forum.xda-developers.com/show....php?t=1574401

Descargamos Xposedinstaller_2.1.4.apk que hay como adjunto.

Instalamos Xposed, lo abrimos y le damos a "Install/Update", y reiniciamos dándole a Reboot.

Descargamos e instalamos el modulo Master Key Dual Fix desde Google Play Store:

https://play.google.com/store/apps/d...sterkeydualfix

Ahora volvemos a ejecutar Xposed, nos vamos a la pestaña Modules y activamos Master Key Dual Fix.

Por último escaneamos con los dos Scanners para ver que hemos parcheado los bugs:

Bluebox Security Scanner:

https://play.google.com/store/apps/d...onerootscanner

SRT AppScanner:

https://play.google.com/store/apps/d...t.appintegrity

Y para quien tenga problemas con el módulo y Xposed puede parchear con "ReKey" (necesario Root):

https://play.google.com/store/apps/d...ey.rekey&hl=es

http://www.htcmania.com/showthread.php?t=646996

A continuación dejo unas capturas:

(Click para mostrar/ocultar)

metroid_x · 21/07/13, 01:30:35

Gracias por el aviso

Se supone ya jb ya tenía corregido un fallo

winsmel · 21/07/13, 01:37:25

Cita:

Originalmente Escrito por metroid_x

Gracias por el aviso

Se supone ya jb ya tenía corregido un fallo

De nada. Si metroid, pero este por lo visto no, por lo menos según Bluebox, antes de probar el otro Scanner he parcheado.

El otro bug si me lo detectó Bluebox como parcheado el otro día que vi el hilo de Segamalaga.

winsmel · 21/07/13, 14:47:13

He editado el primer post del hilo, añadiendo un tutorial para parchear las vulnerabilidades y unas capturas.

21/07/13, 18:13:29

tutorial apra no ser afectado por este bug: No te bajes apps de sitios que no debes.

winsmel · 21/07/13, 18:45:38

Cita:

Originalmente Escrito por Yakandu

tutorial apra no ser afectado por este bug: No te bajes apps de sitios que no debes.

Si, aunque hay un pero, como se puede leer en uno de los enlaces a "El Androide Libre", en el hilo de Segamalaga al que enlacé en el primer post:

Cita:

Si solo instalamos aplicaciones desde Google Play, estamos relativamente seguros. Porque entonces el atacante tendría que tomar el control de la cuenta del desarrollador de esa app, algo posible pero fácilmente detectable y evitable. Por lo tanto, si queremos evitar este tipo de ataques en la medida de lo posible, solo debemos instalar aplicaciones y actualizaciones que provengan de Google Play. Además, podemos configurar nuestro dispositivo para que solo acepte apps y actualizaciones de la tienda oficial. Para ello, nos vamos a Ajustes, Seguridad, y desmarcamos la opción “Orígenes desconocidos”.

Por supuesto, no es la solución definitiva, pero esta solo llegará cuando Google solucione el problema, algo que debería estar haciendo en estos mismos momentos ahora que el bug se ha hecho público. Una vez que aparezca la actualización del sistema, estaremos seguros hasta que aparezca otro error, tal es la naturaleza de la relación entre los hackers y los fabricantes.

Yo prefiero parchear, mejor saberlo y quien descargue cosas de otros orígenes que parchee, por aquí hay muchas personas que instalan cosas de distintos sitios.

The Loko · 22/07/13, 12:38:59

¿El apk del módulo se puede desinstalar una vez parcheado? Gracias por el tutorial!

pepeluone · 22/07/13, 14:17:28

Hecho , gracias por decirlo

winsmel · 22/07/13, 14:29:35

Cita:

Originalmente Escrito por The Loko

¿El apk del módulo se puede desinstalar una vez parcheado? Gracias por el tutorial!

De nada.

No, hay que mantener tanto Xposed, como el
módulo instalado y activado.

Cita:

Originalmente Escrito por pepeluone

Hecho , gracias por decirlo

De nada.

bernardo415 · 24/07/13, 03:32:11

no funciono para mi caso en particular aun detecta el segundo bug

skater96 · 24/07/13, 03:37:04

Me fio menos de esto que de Rajoy. Seguro son "vulnerabilidades" que el usuario intenta corregir con un parque que diseñan terceros... NSA ,bienvenidos a Android.

winsmel · 24/07/13, 11:26:35

Cita:

Originalmente Escrito por skater96

Me fio menos de esto que de Rajoy. Seguro son "vulnerabilidades" que el usuario intenta corregir con un parque que diseñan terceros... NSA ,bienvenidos a Android.

Eres libre de creer lo que quieras, pero antes de opinar te recomiendo que leas un poco por la red, mejor si sabes Inglés, ya que el tema está más documentado.

Las vulnerabilidades las están corrigiendo portando el código de las últimas versiones de Android que Google y los fabricantes están lanzando parcheadas, son parches provisionales, pero es mejor que nada, ya que Google de momento no se ha molestado en lanzar un parche universal, para versiones antiguas, ha dado la solución a los fabricantes y son ellos los que tiene que poner medios, como algunos no lo hacen, mejor que hayan personas en el comunidad que intenten portarlas para parchear.

winsmel · 24/07/13, 11:40:11

Por cierto, dejo esto, me parece interesante:

Aplicaciones de Android que explotan el fallo "master key" han sido encontradas en Google Play:

http://news.softpedia.es/Aplicacione...ay-369160.html

Cita:

Mientras tanto, los expertos de Bitdefender han descubierto un par de aplicaciones bastante populares en Google Play que explotan la vulnerabilidad. Las aplicaciones en cuestión son Rose Wedding Cake Game (Más de 10.000 descargas) y Pirates Island Mahjong Free (Más de 5.000 descargas), ambas de las cuales han sido actualizadas a mediados de mayo.

Sin embargo, en este caso, el error no es aprovechado con fines maliciosos.

"Las aplicaciones contienen dos archivos PNG duplicados que forman parte de la interfaz del juego. Esto significa que las aplicaciones no ejecutan código malicioso – simplemente están exponiendo el error de Android para sobrescribir un archivo de imagen en el paquete, probablemente por error", explicó Bogdan Botezatu de Bitdefender:

http://www.bitdefender.com/presscenter/people

"En contraste, la explotación malintencionada de este fallo se centra en reemplazar el código de la aplicación", señaló.

Aunque las aplicaciones no son maliciosas, el descubrimiento muestra que las aplicaciones que aprovechan la vulnerabilidad de firma criptográfica no levantan sospechas al ser publicadas en Google Play.

http://www.hotforsecurity.com/blog/m...tore-6607.html

Google ya ha parcheado la vulnerabilidad y parece que los OEMs también están trabajando en ello. Sin embargo, debido a la fragmentación de Android, tomará algún tiempo hasta que el parche llegue a los usuarios finales.

Por eso, los dueños de dispositivos con Android deben considerar las alternativas. Por ejemplo, los usuarios de CyanogenMod ya están protegidos contra la explotación.

Duo Security ha lanzado una aplicación llamada ReKey que está diseñada para eliminar la vulnerabilidad en dispositivos arraigados. Además, Bitdefender y otros proveedores de soluciones de seguridad han actualizado sus productos móviles para Android para asegurarse de que detecten las aplicaciones que abusan del fallo “master key”.

Y para quien tenga problemas con el módulo y Xposed puede parchear con "ReKey" (necesario Root):

https://play.google.com/store/apps/d...ey.rekey&hl=es

http://www.htcmania.com/showthread.php?t=646996

Ya añadiré más información al primer post, ahora no tengo tiempo.

bernardo415 · 25/07/13, 04:51:40

Cita:

Originalmente Escrito por winsmel

Por cierto, dejo esto, me parece interesante:

Aplicaciones de Android que explotan el fallo "master key" han sido encontradas en Google Play:

http://news.softpedia.es/Aplicacione...ay-369160.html

Y para quien tenga problemas con el módulo y Xposed puede parchear con "ReKey" (necesario Root):

https://play.google.com/store/apps/d...ey.rekey&hl=es

http://www.htcmania.com/showthread.php?t=646996

Ya añadiré más información al primer post, ahora no tengo tiempo.

Gracias, parchado al fin cero vunerabilidad

winsmel · 25/07/13, 10:23:26

Cita:

Originalmente Escrito por bernardo415

Gracias, parchado al fin cero vunerabilidad

De nada, me alegra leer que has podido parchear con la otra aplicación.

Cortex_nano · 25/07/13, 13:30:42

A mi me sale esto!!

javier29 · 25/07/13, 22:07:37

Ami me sale lo mismo pero si Boy. A Master key. Me sale k está activo

javier29 · 25/07/13, 22:10:52

Me podéis decir si está parcheado ono gracias. El bluebox me dice que no

winsmel · 25/07/13, 23:11:00

Cita:

Originalmente Escrito por Cortex_nano

A mi me sale esto!!

Abre Xposed y dale a Install/Update, luego dale a Reboot, deja que se reinicie. Luego abre Bluebox y dale a Rescan en el botón del menú, el de la derecha.

Cita:

Originalmente Escrito por javier29

Ami me sale lo mismo pero si Boy. A Master key. Me sale k está activo

Según esa captura están parcheados los dos bugs, pero si Bluebox te dice lo mismo que a Cortex_nano, haz lo mismo que le he comentado.

javier29 · 25/07/13, 23:15:57

Ok gracias

Los siguientes 16 usuarios han agradecido a winsmel su comentario:
[ Mostrar/Ocultar listado de agradecimientos ]

Gracias de parte de:
winsmel

Gracias de parte de:
metroid_x

Gracias de parte de:
David_Vaz