ANDROID. Descubierta vulnerabilidad que posibilita ataques phishing

Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.

Detalle e impacto  de la vulnerabilidad

•  Android Open Source Project (AOSP) clasifica los permisos en Android en varios niveles: "normal", "dangerous", "system", "signature" y " development". Los permisos normales se conceden automáticamente en la instalación, sin pedir aprobación explícita del usuario (aunque el usuario siempre puede revisar los permisos antes de instalar).
•  En la última versión de Android 4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos normales, el sistema solo muestra los permisos peligrosos. Si una aplicación solo solicita permisos normales, Android no los muestra al usuario. Sin embargo, FireEye ha descubierto que determinados permisos de la categoría "normal" pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos permisos una aplicación maliciosa puede modificar los iconos de la página principal de forma que lanzen aplicaciones o sitios web de phishing.

Recursos afectados

•  FireEye también confirma que la vulnerabilidad no está limitada a dispositivos Android que ejecuten AOSP. También se ven afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod 4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.

Recomendación

• Google además de reconocer la vulnerabilidad, ha distribuido un parche a sus sociosOEM. Sin embargo, tal y como ya avisan en FireEye muchos fabricantes que hacen uso de Android son lentos a la hora de adaptar las actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente para proteger a los usuarios.

Más información:

• Occupy Your Icons Silently on Android http://www.fireeye.com/blog/technical/2014/04/occupy_your_icons_silently_on_android.html
•  App Manifest/ http://developer.android.com/guide/topics/manifest/permission-element.html

Fuente: Hispasec