Un equipo de investigadores de la compañía de seguridad MWR Labs han alertado de una vulnerabilidad en Android que permite que un atacante pueda acceder al móvil de su víctima para grabar la pantalla y el audio sin que el usuario se entere. Esta vez se ha dado a conocer un nuevo fallo de seguridad en el componente MediaProjection, el cual permitiría grabar la pantalla de tu móvil y capturar el audio, previo engaño al usuario.



Este fallo de seguridad está presente en las versiones Marshmallow, Lollipop y Nougat del sistema Android, por lo que se estima que uno de cada tres teléfonos inteligentes es vulnerable a sufrir el ataque. Concretamente, estamos hablando el 77,5% de los usuarios de Android con estas versiones.

El componente MediaProjection es el recurso de Android por defecto para capturar el audio y grabar la pantalla. A pesar de que esta herramienta está presente en el sistema hace mucho tiempo, para disponer de ella es necesario contar con permisos de root, o incluso que los fabricantes la activaran manualmente en sus roms.



Al llegar la versión Android 5.0 Lollipop, Google habilitó el uso de esta herramienta para todos los usuarios de forma que cualquier persona pudiera grabar con facilidad la pantalla del dispositivo, a pesar de que cuando lo hizo la compañía olvidó ponerle los permisos.

En vez de controlar el funcionamiento de la herramienta mediante permisos, MediaProjection se puede lanzar con una sencilla llamada interna del sistema. Al ocurrir esto, se muestra una ventana en la pantalla que no avisa que una app está intentando capturar la pantalla y el audio de tu dispositivo.

Por fortuna, no se trata de un ataque totalmente silencioso, ya que a medida que son utilizadas estas funciones, el sistema muestra el icono de Cast, que aparece cuando haces streaming con Chromecast, además de una notificación de retransmisión en la zona superior de la pantalla y en la zona de notificaciones, de forma que sabremos si algo malo ocurre con nuestro dispositivo.

Los usuarios de Android Oreo ya están a salvo de esta vulnerabilidad, sin embargo, las versiones anteriores a la 8.0 todavía son vulnerables al ataque, y, de momento, Google no parece tener solución. Estaremos atentos a cualquier actualización sobre este fallo.

MediaProjection

Google presentó el servicio MediaProjection para Android Framework en Android 5.0. Esto le dio a los desarrolladores de aplicaciones Android la capacidad de capturar contenidos de pantalla y / o grabar audio del sistema. Antes de que los desarrolladores de aplicaciones de Android 5.0 requirieran que sus aplicaciones se ejecutaran con privilegios de raíz o firmasen sus aplicaciones con las claves de liberación del dispositivo para usar los permisos protegidos del sistema para capturar los contenidos de la pantalla.

Con MediaProjection, los desarrolladores de aplicaciones ya no necesitan privilegios de administrador ni requieren firmar sus aplicaciones con las claves de lanzamiento del dispositivo. Además, no hay permisos que deben declararse en AndroidManifest.xml para utilizar el servicio MediaProjection.

Para usar el servicio MediaProjection, una aplicación simplemente tendría que solicitar acceso a este Servicio del sistema a través de un Intento. El acceso a este sistema se realiza mediante la visualización de una ventana emergente SystemUI que advierte al usuario que la aplicación solicitante desea capturar la pantalla del usuario.

Se descubrió que un atacante podría superponer esta ventana emergente de SystemUI que advierte al usuario que se capturarían los contenidos de su pantalla, con un mensaje arbitrario para engañar al usuario y así otorgarle a la aplicación del atacante la capacidad de capturar la pantalla del usuario. Impacto

Esta vulnerabilidad permitiría a un atacante capturar la pantalla del usuario si el usuario tocara la ventana emergente SystemUI que ha sido superpuesta por el atacante con un mensaje arbitrario.
La falta de permisos específicos de Android para usar esta API hace que sea más difícil determinar si una aplicación usa el servicio MediaProjection.

Esta vulnerabilidad es particularmente grave ya que la ventana emergente SystemUI se inicia dentro del contexto de la aplicación del atacante, lo que permite que un atacante detecte la ventana emergente y dibuje una superposición sin que el usuario se dé cuenta.


La causa principal de esta vulnerabilidad se debe al hecho de que las versiones de Android afectadas no pueden detectar ventanas emergentes de SystemUI parcialmente oscurecidas. Esto permite a un atacante crear una aplicación para dibujar una superposición sobre la ventana emergente SystemUI, lo que llevaría a la elevación de los privilegios de la aplicación que le permitiría capturar la pantalla del usuario.

Además, la ventana emergente SystemUI es el único mecanismo de control de acceso disponible que evita el abuso del servicio MediaProjection. Un atacante podría evitar trivialmente este mecanismo mediante el tapjacking de esta ventana emergente utilizando métodos conocidos públicamente para otorgar a sus aplicaciones la capacidad de capturar la pantalla del usuario.
 Solución:

Esta vulnerabilidad se ha solucionado en Android 8.0 y se recomienda a los usuarios de Android que actualicen a Android 8.0. No está claro si Google planea lanzar un parche para versiones antiguas de Android afectadas. Sin embargo, si se publicara un parche de seguridad para versiones antiguas de Android afectadas en una fecha posterior, los usuarios deberían actualizar sus dispositivos.

Los desarrolladores de aplicaciones Android pueden defenderse contra este ataque habilitando el parámetro de diseño FLAG_SECURE a través del WindowManager de la aplicación. Esto garantizaría que el contenido de las ventanas de las aplicaciones se trata como seguro, evitando que aparezca en capturas de pantalla o que se visualice en pantallas no seguras.

A continuación se muestra un ejemplo de cómo se puede agregar el parámetro FLAG_SECURE a las actividades de las aplicaciones:

public class ApplicationActivity extends AppCompatActivity {

@Override
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);

getWindow().setFlags(LayoutParams.FLAG_SECURE,
LayoutParams.FLAG_SECURE);

 /* application code follows */
 }
}

Fuentes:
https://www.tekcrispy.com/2017/11/20/falla-android-grabar-pantalla/
https://labs.mwrinfosecurity.com/advisories/screencapture-via-ui-overlays-in-mediaprojection/