Android 4.4 y anteriores afectados por nuevo
fallo del tipo “Master Key”.
A principios de julio de este año, se hablaba de un fallo en la verificación de firmas de Android que permitía evitar la comprobación de firma.
BlueBox, la empresa que descubrió el fallo, anunció que daría detalles en la BlackHat 2013. Pero poco después del comunicado la comunidad se interesó por el asunto y prácticamente le quitaron el caramelo de las manos publicando pruebas de concepto en las cuales se demostraba la manera de aprovechar el fallo, llamado "Master Key"; debido a que gracias a él permite, incluir código arbitrario en cualquier APK firmado por un desarrollador sin alterar la firma.
Días después, el grupo chino "Android Security Squad" publicó un nuevo ataque parecido a "Master Key", pero en el que se podía inyectar código compilado arbitrario en el archivo "classes.dex" de otra aplicación. Para ello se aprovechaba un espacio entre la cabecera y los datos y nuevamente sin alterar la firma del paquete. Aunque este error se limitaba a archivos "classes.dex" inferiores a 64K.
Jay Freeman, más conocido por su trabajo al frente de Cydia (gestor de aplicaciones para sistemas iOS con jailbreak), ha publicado un nuevo método del tipo "Master Key" aprovechando un fallo en la última versión de Android, la 4.4.
Freeman examinó un parche incluido en el código liberado de la versión 4.4 de Android y comprobó como existía la posibilidad de inyectar clases compiladas en un archivo "classes.dex" de un tercero. El método es similar al encontrado por el grupo chino, es decir, se basa de nuevo en la inyección de clases dentro de las secciones que componen el archivo comprimido en formato ZIP.
Aunque este fallo podría ser usado por un atacante para inyectar código sin romper la firma de un paquete legítimo, Freeman lo orienta más a la capacidad para realizar un "rooteo" del dispositivo.
Con este tipo de vector son ya tres los fallos encontrados (al menos publicados) que pueden ser usados para la misma finalidad. De nuevo la implementación y manejo de los archivos comprimidos en el proceso de verificación de firmas son la fuente de problemas para el sistema operativo móvil de Google.
Esto último, unido a la desesperante tardanza de algunos operadores en liberar parches para los sistemas de sus clientes, hacen que la ventana de exposición se convierta en un largo e interminable pasillo. Eso siempre y cuando se tenga la suerte de que el sistema siga estando soportado.
BlueBox, la empresa que descubrió el fallo, anunció que daría detalles en la BlackHat 2013. Pero poco después del comunicado la comunidad se interesó por el asunto y prácticamente le quitaron el caramelo de las manos publicando pruebas de concepto en las cuales se demostraba la manera de aprovechar el fallo, llamado "Master Key"; debido a que gracias a él permite, incluir código arbitrario en cualquier APK firmado por un desarrollador sin alterar la firma.
Días después, el grupo chino "Android Security Squad" publicó un nuevo ataque parecido a "Master Key", pero en el que se podía inyectar código compilado arbitrario en el archivo "classes.dex" de otra aplicación. Para ello se aprovechaba un espacio entre la cabecera y los datos y nuevamente sin alterar la firma del paquete. Aunque este error se limitaba a archivos "classes.dex" inferiores a 64K.
Jay Freeman, más conocido por su trabajo al frente de Cydia (gestor de aplicaciones para sistemas iOS con jailbreak), ha publicado un nuevo método del tipo "Master Key" aprovechando un fallo en la última versión de Android, la 4.4.
Freeman examinó un parche incluido en el código liberado de la versión 4.4 de Android y comprobó como existía la posibilidad de inyectar clases compiladas en un archivo "classes.dex" de un tercero. El método es similar al encontrado por el grupo chino, es decir, se basa de nuevo en la inyección de clases dentro de las secciones que componen el archivo comprimido en formato ZIP.
Aunque este fallo podría ser usado por un atacante para inyectar código sin romper la firma de un paquete legítimo, Freeman lo orienta más a la capacidad para realizar un "rooteo" del dispositivo.
Con este tipo de vector son ya tres los fallos encontrados (al menos publicados) que pueden ser usados para la misma finalidad. De nuevo la implementación y manejo de los archivos comprimidos en el proceso de verificación de firmas son la fuente de problemas para el sistema operativo móvil de Google.
Esto último, unido a la desesperante tardanza de algunos operadores en liberar parches para los sistemas de sus clientes, hacen que la ventana de exposición se convierta en un largo e interminable pasillo. Eso siempre y cuando se tenga la suerte de que el sistema siga estando soportado.
Más información:
Yet Another Android Master Key Bughttp://www.saurik.com/id/19
android / platform/libcore / 2da1bf57a6631f1cbd47cdd7692ba8
No hay comentarios:
Publicar un comentario