Android es el sistema operativo más utilizado en todo el mundo y ya cuenta con tres vulnerabilidades bien famosas como los graves fallos del MediaServer, StageFright y BadKernel. Éste último fallo afecta a 1 de cada 16 teléfonos móviles según trustlook.com, es decir, unos 100 millones de usuarios. Se  estima que un 41,5% de móviles Samsung están afectados. BadKernel permite robar datos desde el dispositivo, apoderarse de la cámara del usuario, interceptar mensajes SMS, y todo lo que se quiera. Como se trata de un RCE (ejecución remota de código), los atacantes tienen un control total sobre cualquier smartphone afectado.

BadKernel en 2016: 100 millones de usuarios afectados

BadKernel es una vulnerabilidad publicada inicialmente en agosto de 2015 por una empresa de seguridad china llamada 360 researchers (Alpha Team).

Esta vulnerabilidad se encuentra en el motor JavaScript V8 de Google, concretamente entre las versiones 3.20 y 4.2 del mismo. Además, es muy sencilla de explotar, casi tanto como StageFright, y puede llegar a permitir a un atacante acceder sin problemas a prácticamente toda la información del dispositivo, como a los SMS, a las contraseñas, a la cámara, a los contactos e incluso a la ubicación, así como a controlarlo de forma remota.

¿Qué es el motor JavaScript V8 de Google Chrome?

Google JavaScript V8 es el motor de código abierto de JavaScript en el desarrollo del navegador Chrome. Antes de ejecutar el compilador V8 JavaScript se convierte en código de máquina o código de bytes en lugar de interpretarse, con el fin de mejorar el rendimiento. 

Cualquier aplicación que se ejecuta en Android 4.4.4 hasta la versión 5.1  y utiliza el componente WebView es vulnerable.


Google V8 JavaScript Engine es el navegador Chrome de código abierto para el motor  JavaScript .La vulnerabilidad se debe a que en el código fuente hay un error, la variable "observe_accept_invalid" no fué correctamente definida, ya que fué escrita erróneamente por "observe_invalid_accept"".

observe_invalid_accept: ["Object.observe accept must be an array of strings."],

https://chromium.googlesource.com/v8/v8/+/3.27.34.21/src/messages.js#75%20in%20observe_invalid_accept%20to%20observe_accept_invalid

 




Este error permite el libre acceso a los  kMessages objetos clave, lo que deja explotar el fallo para descargar y ejecutar código malicioso.

Se cree que BadKernel es todavía relativamente desconocido en los EE.UU. y Europa, ya que fue descubierto por el grupo de investigación Qihoo 360 que publicó sus hallazgos originales en chino, lo que no era fácilmente accesible al  resto del mundo.

WebView es el componente principal que sirve para mostrar páginas web en un dispositivo Android, pero que fue reemplazada en Android 4.4 KitKat  con una versión Chromium más reciente de WebView que también se utiliza en el navegador web Chrome.

Versiones Afectadas

La principal forma de explotar esta vulnerabilidad es a través de ingeniería social visitando un enlace (link) hacía una página web con código malicioso.


Los fabricantes más afectados a día de hoy son LG, Samsung, Motorola y Huawei. Según un reciente estudio, aunque la vulnerabilidad en el motor JS v8 de Google ya fue solucionada hace más de un año, a día de hoy uno de cada 16 dispositivos sigue siendo vulnerables, especialmente entre los fabricantes citados anteriormente.

Un 41,5% de móviles Samsung están afectados

Principal vector de ataque

 En la actualidad, muchas de las aplicaciones populares, tales como WeChat, Facebook, Twitter o Gmail, utilizan el componente WebView.  Las versiones vulnerables de WebView son la opción por defecto en Android 4.4.4 hasta la versión 5.1.



La principal forma de explotar esta vulnerabilidad es a través de páginas web maliciosas o instalando y ejecutando webapps que carguen directamente servidores controlados por los piratas informáticos con los exploits para tomar el control de los dispositivos vulnerables.

Test BadKernel

• http://www.elhacker.net/badkernel-android.html

Países más afectados

Fuentes:
http://www.redeszone.net/2016/10/06/uno-de-cada-16-smartphones-son-vulnerables-a-badkernel/
http://www.trustlook.com/static/infographic/badkernel_infographic.pdf
http://news.softpedia.com/news/badkernel-vulnerability-affects-one-in-16-android-smartphones-508963.shtml
http://blog.nsfocus.net/google-chrome-v8-technical-analysis-vulnerability-protection-program/