Investigadores de IBM (IBM’s X-Force Application Security Research Team) han encontrado un agujero de seguridad crítico en el SO Android de Google que afectaría a más del 55% de los usuarios de la plataforma. En estos momentos ya existe parche, aunque no llegará a todos los usuarios de forma rápida. La presentación se ha llevado acabo en la conferencia de seguridad USENIX WOOT edición 2015 celebrada en Washington.




Presentamos vulnerabilidades alta gravedad hasta ahora desconocidas en Android.

El primero agujero está en la plataforma Android y Google Play Services. La instancia Plataforma afecta Android 4.3 a 5.1, M (Preview 1) o el 55% de los dispositivos Android en el momento de escribir esto.

Veriones de Android afectadas

• Android 4.3 to 5.1

Evasión medidas de seguridad de Google Play

Hace poco vimos una técnica de ataque similar expuesta como parte de la fuga del equipo de Hacking Team. Eso exploit utiliza una aplicación de noticias falsas llamada BeNews que fue construido para evitar la filtración de Google Play, al exigir un conjunto benigna de privilegios. Una vez que el usuario ejecutó la aplicación, entonces descargar código adicional con un exploit utilizado para escalar permisos utilizando la vulnerabilidad Futex (CVE-2014 hasta 3153). Lo que nuestro equipo encontró que no se ha visto en la naturaleza, pero aún muestra que con el enfoque y las herramientas adecuadas, aplicaciones maliciosas tienen la capacidad de pasar por alto, incluso la mayoría de los usuarios preocupados por la seguridad.

Esta vulnerabilidad permite la ejecución de código arbitrario en el contexto de muchas de las aplicaciones y servicios y resultados en la elevación de privilegios. En este trabajo también demostramos una prueba de concepto explotar contra el dispositivo de Google Nexus 5, que logra la ejecución de código dentro del proceso system_server única, y luego o bien sustituye a una aplicación arbitraria existente en el dispositivo con nuestra propia aplicación malware o cambia el política de SELinux del dispositivo. Para algunos otros dispositivos, también somos capaces de obtener la ejecución de código del kernel mediante la carga de un módulo del kernel arbitraria. Habíamos dado a conocer de manera responsable la vulnerabilidad de Android Security Team, que ha marcado como CVE-2015-3825 (internamente como ANDROID-21437603/21583894) y parcheado Android 4.4 / 5.x / M y servicios de Google Play.

En aras de la exhaustividad también hicimos un experimento a gran escala sobre 32.701 de las aplicaciones de Android, la búsqueda de vulnerabilidades deserialización previamente desconocidos similares, identificados por CVE-2015-2000 / 1/2/3/4/20, de 6 SDKs que afectan a múltiples aplicaciones. La divulgación responsable (en privado) estableció contacto con los proveedores de los SDKs "o mantenedores de código para que pudieran proporcionar parches. Un análisis más detallado mostró que muchos de los SDK eran vulnerables debido a debilidad código generado por SWIG, una herramienta de interoperabilidad que conecta C / C ++ con variedad de idiomas, cuando se alimenta con una mala configuración dada por el desarrollador. Por lo tanto, trabajamos en estrecha colaboración con el equipo TRAGO para asegurarse de que sería generar código más robusto - los parches ya están disponibles.

Según cuenta IBM, la vulnerabilidad encontrada podría permitir que una aplicación maliciosa sin privilegios tenga la capacidad de convertirse en una aplicación con la que un posible atacante se adueñe del dispositivo en cuestión.

La vulnerabilidad, asignada a CVE-2015-3825, afecta a las versiones Android 4.3 y superiores, incluyendo la última versión de Android M. En esencia, el agujero reside en un componente de la plataforma Android llamado OpenSSLX509Certificate, el cual puede ser explotado por una aplicación para Android que compromete al sistema hasta el punto de acceder a su totalidad.

Un ejemplo de ello lo podemos ver en el vídeo que han colgado desde IBM junto al paper publicado. En las imágenes podemos ver un ataque a modo de prueba que demuestra la forma en que fueron capaces de explotar el agujero utizando una app maliciosa y sustituirla por la aplicación real de Facebook, con el fin de robar las credenciales de acceso a la red social.

WOOT15: One Class To Rule Them All 

Nuestro trabajo se describe una prueba fiable de concepto (PoC) que demuestra la viabilidad del ataque. No incluye ningún código de explotación. El PoC explotar creamos ataques del proceso system_server altamente privilegiada. Explotando system_server permite escalamiento de privilegios para el usuario del sistema con un perfil más bien relajada SELinux (debido a muchas responsabilidades de system_server), que permite al atacante para causar mucho daño.



Una vez que el usuario ejecuta esa aplicación (sin privilegios aparentes), se descarga un código adicional que sobrescribe la app existente, cargado con un exploit que ofrece permisos adicionales a través de la vulnerabilidad encontrada. Además, los investigadores también descubrieron otra serie de agujeros en SDKs de terceros que podrían permitir a posibles atacantes ejecutar código remoto desde apps que utilizan estos SDK.

Vulnerabilidades en SDK

• Jumio (CVE-2015-2000)
• MetaIO (CVE-2015-2001)
• PJSIP PJSUA2 (CVE-2015-2003)
• GraceNote GNSDK (CVE-2015-2004)
• MyScript (CVE-2015-2020)
• esri ArcGis (CVE-2015-2002) 

IBM ha informado ya a Google del fallo antes de presentar el paper publicado y ya se ha emitido un parche, aunque como ocurre muchas veces es muy posible que la gran mayoría de usuarios de Android tarden en recibirlo o incluso no lleguen a hacerlo.

Fuentes:
http://www.elotrolado.net/noticia_ibm-encuentra-una-grave-vulnerabilidad-en-android-que-afectaria-al-55-de-los-usuarios_26968
https://securityintelligence.com/one-class-to-rule-them-all-new-android-serialization-vulnerability-gives-underprivileged-apps-super-status/