4 de noviembre de 2013

ANDROID. Nuevo fallo afecta a Android 4.4 y anteriores

A principios de julio Una-al-día publicó la noticia que un fallo en la verificación de firmas de Android que permitía evitar la comprobación de firma.
Historial de los fallos "Master Key"
  1. BlueBox, la empresa que descubrió el fallo, anunció que daría detalles en la BlackHat 2013. 
  2. Días después, el grupo chino "Android Security Squad" publicó un nuevo ataque parecido a "Master Key", pero en el que se podía inyectar código compilado arbitrario en el archivo "classes.dex" de otra aplicación. 
  3. Jay Freeman, más conocido por su trabajo al frente de Cydia (gestor de aplicaciones para sistemas iOS con jailbreak), ha publicado un nuevo método del tipo "Master Key" aprovechando un fallo en la última versión de Android, la 4.4.
Con este último descubrimiento son ya tres los fallos publicados,  que pueden ser usados para la misma finalidad. De nuevo la implementación y manejo de los archivos comprimidos en el proceso de verificación de firmas son la fuente de problemas para el sistema operativo móvil de Google.
Todo esto, unido a la tardanza de los operadores en lanzar parches para actualizar los sistemas de sus clientes, hacen que la ventana de exposición se agrande largamente. Eso siempre y cuando se tenga la suerte de que el sistema siga estando soportado.
Más información:
Una al día (2/11/13)
Fuente: Hispasec