La opción, que fue introducida hace dos años, contiene un fallo de seguridad sin parchear que no elimina los archivos enviados a dispositivos iPhone, por lo que, en cuanto a funcionalidad se refiere, sencillamente se limita a generar una sensación de privacidad que no se corresponde con la realidad.
Tanto WhatsApp, como su competidor de software – parcialmente – libre, Telegram, ofrecen la opción «Eliminar para todos» cuando se selecciona un determinado archivo enviado. Esto permite rectificar el envío y enmendar un posible – y a menudo incómodo – error cuando, típicamente, se envía por descuido material a un destinatario no deseado.
En el caso de WhatsApp, la opción sólo está disponible en un lapso de tiempo de una hora, ocho minutos y dieciséis segundos, una vez el mensaje o archivo se ha enviado. Un tiempo, seguramente, más que razonable para percatarse del error.
Sin embargo, tanto da el lapso de tiempo configurado por el fabricante, si los mensajes o archivos enviados, tal y como ha descubierto el investigador Shitesh Sachan, no se eliminan correctamente para los usuarios de iPhone. Incluso aunque recibamos de la aplicación el mensaje de «el mensaje ha sido borrado».
Si bien es cierto que la versión para Android de la popular aplicación de mensajería llega incluso a borrar los archivos de la galería del receptor cuando se selecciona la opción «borrar para todos», no ocurre así para los usuarios de iPhone, un contexto donde la aplicación parece seguir un diseño diferente.
El problema radica fundamentalmente en que la aplicación trae activada por defecto la opción de «guardar automáticamente» en las respectivas galerías de Android o iPhone y, pese a que desactivar esta opción mitigaría parte del problema, poca gente configura correctamente su aplicación para que adopte este comportamiento. Ni siquiera cuando las mejoras en cuanto almacenamiento y control de los activos son evidentes al activar esta opción.
A comienzos de esta semana se publicaba, igualmente, un fallo de seguridad similar que afectaba a Telegram, que también adolece de una implementación deficiente en su opción «Eliminar para todos». Sin embargo, mientras que Telegram parcheó inmediatamente el fallo, WhatsApp ha declarado que no tiene intención alguna de abordar el tema, porque la funcionalidad de dicha opción es, argumentan, eliminar de la aplicación -y no del dispositivo móvil – los archivos seleccionados.
El equipo de seguridad de WhatsApp también arguye que la pretensión de que su opción «Eliminar para todos» sirva, precisamente, para eliminar por completo el archivo, colisiona con el hecho de que el receptor del mensaje puede verlo antes de que sea borrado o hacer un «pantallazo», lo que haría inútil implementar correctamente la opción. Por otro lado, también afirman que podrían estudiar cambios en la implementación en un futuro.
En este sentido, recomendamos siempre evitar el uso de software privativo que no respete la privacidad y la seguridad del usuario, y adoptar progresivamente el uso de software cuyo código haya sido liberado – software libre – por los beneficios de seguridad y privacidad que supone el tener a disposición de una comunidad activa un código fuente auditado y saneado de manera pública.
Como ya se ha comentado anteriormente por aquí, el próximo 20 de septiembre se celebrará la Bsides Málaga y los encargados de la UAM no querían perder la oportunidad de echar una mano organizando un par de retos para los asistentes.
Para los que no nos conozcan, UAM (Una al Mes) fue una iniciativa que nació en noviembre de 2017, mediante la cual, se proponía un reto de seguridad al mes para todos los interesados en la materia. Hoy día, casi 2 años después seguimos ofreciendo mensualmente un reto de seguridad informática, habiendo variado el formato conforme han ido pasando los meses. Si estás interesado en participar, nos puedes encontrar en https://unaalmes.hispasec.com/.
Volviendo al tema que nos atañe, la dificultad de los retos mostrados en el evento será media-baja para que puedan realizarlos personas de cualquier nivel. Los retos a solucionar van a ser:
– Online: Se tratará de un reto al que se podrá acceder por Internet, el cual estará disponible durante toda la jornada. Este servirá como llave de acceso al reto presencial que se celebrará entre charlas.
– Presencial: Será un juego que pondrá a prueba tanto conocimientos como velocidad de ejecución. Se enfrentarán dos contrincantes y solo uno podrá ser el vencedor. Con un tiempo límite de 20 minutos, los dos aspirantes tendrán una máquina física que provea el equipo de UAM, la cual utilizarán para vulnerar un objetivo concreto (necesario conseguir user y root). El vencedor se llevará un pequeño obsequio por parte de los organizadores (además se hará un ranking con los tiempos conseguidos por cada uno de los jugadores).
Para acceder al reto presencial se debe de haber superado el reto online.
Os recordamos que podéis apuntaros al evento aquí.
La web de denuncias SecureDrop, perteneciente a The Guardian, estaba redirigiendo a una web phishing que tenía como objetivo robar los codenames de los usuarios. Además, esta web phishing anunciaba una aplicación móvil para Android que permitía a los atacantes realizar diversas actividades maliciosas en los dispositivos de las víctimas.
SecureDrop es un servicio para compartir datos mediante la red TOR, esto permite a los denunciantes enviar información a las empresas de periodismo de forma anónima. Por ejemplo, podemos hacer uso del servicio en la dirección legítima de la web de noticias The Guardian en 33y6fjyhs3phzfjj.onion
Cuando un usuario desea enviar información a los periodistas del medio de comunicación recibe un nombre en clave, codename, que luego se puede utilizar para futuras comunicaciones. Este nombre en clave es privado, ya que cualquiera que lo conozca puede ver las comunicaciones realizadas con los periodistas.
Una vez que los atacantes obtienen los codenames de los usuarios pueden iniciar sesión en la web legítima de SecureDrop y hacerse pasar por la fuente para robar información y comunicaciones.
Poco después de anunciar que había sido descubierto el phishing la web maliciosa fue desactivada. Sin embargo, no se sabe si el sitio fue desconectado por el equipo de seguridad de The Guardian, o por los atacantes.
Aplicación Android maliciosa
Los atacantes estaban anunciando en la web phishing una aplicación Android que permitía a los usuarios «ocultar su ubicación».
Los descubridores del phishing consiguieron descargar el malware y todavía está disponible el enlace para su descarga desde la cuenta de Twitter de Elliot Alderson
Según nos muestra el análisis del APK en VirusTotal podemos ver una larga lista de permisos que asemejan la funcionalidad a la de un RAT. Entre los permisos solicitados encontramos el monitoreo de las llamadas, ubicación, mensajes de texto, grabar audios…
Tras analizar el malware el investigador Lukas Stefanko dijo: «La aplicación es un malware controlado de forma remota y ejecutará comandos enviados por el servidor. También puede obtener texto de notificaciones, enviar imágenes desde la galería y tomar capturas de pantalla si el dispositivo está rooteado».
Además, se cree que parte de la información robada del dispositivo puede utilizarse para realizar el secuestro de la tarjeta SIM. La aplicación envía la información a un servidor de comando y control con IP 213.188.152.96. Dicha dirección IP ha sido utilizada para distintas campañas de malware.
El miércoles 18 de septiembre llegó al laboratorio de Hispasec una nueva muestra del troyano bancario para Android ‘Cerberus’. Desde su lanzamiento en Junio de 2019, este malware bancario ha ido creciendo en popularidad poco a poco.
Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano el un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.
Este troyano tiene su propia cuenta de Twitter (https://twitter.com/androidcerberus), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.
El hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.
Propagación
Tal y como suele ser habitual con este tipo de malware, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.
Teniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.
Infección
Una vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.
Vista con la solicitud de permisos de accesibilidad
Los permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.
El motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.
Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.
Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:
La aplicación ‘dropper’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.
Descarga del módulo malicioso (a través de la URL: http://[DOMINIO]/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.
Funcionalidades para el robo de datos
Para el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’. El uso de ‘overlays’ es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.
Una vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.
Petición al servidor de control para registrar el nuevo dispositivo
Petición al servidor de control para enviar la lista de aplicaciones instaladas
Como respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.
Código encargado de descargar las inyecciones
Como suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’.
Para mostrar la ‘WebView‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.
Al recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’ y la web de phishing.
Inyección para la entidad afectada
Como se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http://[DOMINIO]/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.
Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.
Código encargado de guardar los SMS para su posterior envío
Cifrado de peticiones
Como se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.
Resulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.
Entidades afectadas
Entre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).
Conclusiones
Como hemos visto, Cerberus es uno de los troyanos bancarios para Android más recientes. Aún así, está ganando popularidad rápidamente, lo que supone que sus desarrolladores trabajen para incluir nuevas funcionalidades en su creación.
Esta nueva muestra no incluye novedades con respecto a sus funcionalidades, sin embargo, incluye un importante añadido: soporte para el robo de datos bancarios de entidades españolas. Es la primera muestra de Cerberus que se ha descubierto con inyecciones para entidades bancarias españolas.
Teniendo en cuenta la popularidad que ha ganado esta familia de malware, era un secreto a voces que pronto acabaría incorporando entidades españolas y latinoamericanas entre las afectadas. Debemos seguir alerta, ya que se espera que se incluyan nuevas entidades de todo el mundo con el paso del tiempo, además de nuevas funcionalidades.
Indicadores de compromiso
Si desea más información sobre los identificadores de compromiso y los hashes de la muestra, póngase en contacto con nuestro departamento de malware: malwaredept@hispasec.com
Un Investigador de seguridad ha publicado una vulnerabilidad 0 day que afecta a todas las versiones de phpMyAdmin actualmente no corregida.
PhpMyAdmin es una herramienta libre y de código abierto para administrar las bases de datos MySQL y MariaDB muy utilizada sobre todo en las aplicaciones de gestión de contenido creadas con WordPress o Joomla.
La vulnerabilidad ha sido descubierta por el investigador de seguridad Manuel García Cárdenas, y podría permitir la ejecución de un ataque CSRF. Identificada como CVE-2019-12922 y de gravedad media, esta vulnerabilidad podría ser aprovechada por un atacante remoto para modificar o borrar cualquier configuración del servidor a través de una dirección web especialmente manipulada de una víctima que tenga una sesión abierta en un panel de administración phpMyAdmin.
El investigador de seguridad, no obstante, calma a los administradores de estas bases de datos aclarando que el aprovechamiento de esta vulnerabilidad no permite eliminar ninguna tabla o base de datos existente.
Junto con la noticia, el investigador de seguridad ha publicado una prueba de concepto demostrando cómo se aprovecharía de este error un atacante. La publicación de la vulnerabilidad ha tenido lugar después de que, en junio, Cárdenas se pusiera en contacto con la compañía afectada y 90 días después no el problema no hubiese sido corregido.
PoC de la vulnerabilidad
Como recomendación, se aconseja no hacer clic en enlaces sospechosos o de origen no confiable hasta que la vulnerabilidad sea corregida.
Se ha detectado que dos extensiones fraudulentas que se hacen pasar por AdBlock y uBlock introducen cookies en los navegadores de millones de afectados para generar ingresos por publicidad de forma fraudulenta.
Dado que las extensiones web agregan a los navegadores funciones útiles que mejoran la experiencia en línea y ayudan con la productividad, los atacantes aprovechan la confianza de los usuarios para amenazar su privacidad y seguridad mediante extensiones maliciosas.
Las extensiones se sitúan entre el navegador y la red, interceptando, modificando e incluso bloqueando las peticiones según las funcionalidades para las que fueron diseñadas. Por tanto, se convierten en el eslabón más débil del modelo de seguridad de los navegadores web. Aparte de las extensiones creadas con propósitos fraudulentos, también hay que vigilar aquellas extensiones legítimas que se vuelven maliciosas tras obtener una base de datos de usuarios masiva o que han sido pirateadas.
Los investigadores de Adguard han identificado dos extensiones de Chrome que copian los nombres de extensiones populares para conseguir que los usuarios desprevenidos se las instalen: AdBlock de AdBlock, Inc (con más de 800 000 usuarios) y uBlock de Charlie Lee (con más de 850 000 usuarios). Aunque estas extensiones actúan como cualquier Ad Blocker, eliminando los anuncios de las webs visitadas, los investigadores detectaron un esquema de fraude encubierto consistente en la agregación de cookies de seguimiento para la generación de ingresos por publicidad para sus desarrolladores.
Esta estrategia de fraude es uno de los tipos más populares, consistente en la introducción de una serie de cookies de seguimiento, sin el consentimiento del usuario, que permiten espiar los hábitos de navegación del afectado. Además, en el caso de que se realice alguna compra en línea, el responsable de la cookie ilegítima puede reclamar comisiones de ventas, robando potencialmente el crédito de la atribución de terceros de manera fraudulenta.
Las dos extensiones de bloqueo reportadas enviaban solicitudes a una URL para cada nuevo dominio que los usuarios visitaban, analizando los hábitos de navegación de los afectados durante aproximadamente 55 horas. Con 1,6 millones de usuarios activos, estas extensiones estaban rellenando cookies de más de 300 sitios web entre los más populares del Top 10 000 de Alexa, incluidos Teamviewer, Microsoft, LinkedIn, Aliexpress y booking.com, que potencialmente generaban millones de dólares al mes para sus desarrolladores, según los investigadores.
Dado que Google permite la creación de extensiones con nombres repetidos, hasta que no se ha denunciado la estrategia de fraude no se ha retirado del Chrome Web Store. Además, el sistema de fraude permite a los propietarios de los programas de afiliados seguir el rastro del dinero y descubrir quién está detrás de estas extensiones.
No hay que olvidar que las extensiones del navegador tienen permiso para acceder a todas las páginas web visitadas, por lo que, entre otras cosas, pueden incluso robar las contraseñas de las cuentas en línea. Por lo que se aconseja mucha prudencia a la hora de instalar extensiones, limitándose a aquellas que pertenezcan a autores de confianza.
Microsoft parchea dos vulnerabilidades, una de ellas es un 0-day en Internet Explorer que está siendo explotado activamente en estos momentos.
La primera vulnerabilidad, descubierta por el investigador Clément Lecigne y con identificador CVE-2019-1367 consiste en una ejecución remota de código localizada en la lógica usada por el motor Microsoft Scripting Engine para manipular objetos en memoria.
Esta vulnerabilidad permitiría a un atacante hacerse con el control de la máquina víctima mediante la visita a una web especialmente diseñada usando Internet Explorer.
Además, Microsoft también ha lanzado otro parche para una denegación de servicio en Windows Defender.
Ésta última, descubierta por el investigador de F-Secure Charalampos Billinis y Wenxu Wu de la firma Security Labs, tiene asignado el identificador CVE-2019-1255.
Según Microsoft, esta vulnerabilidad puede ser aprovechada por un atacante para impedir a un usuario ejecutar binarios. Aunque para aprovechar esta falla, es necesario primero adquirir permisos de ejecución en la máquina.
La primera falla afecta a las versiones 9, 10 y 11 del navegador mientras que la vulnerabilidad en Microsoft Defender afecta a las versiones anteriores a 1.1.16400.1. Como es habitual, se recomienda aplicar las actualizaciones lo más pronto posible.
El pasado viernes 20 de septiembre el político Albert Rivera denunciaba ante la Guardia Civil que su cuenta de Twitter había sido hackeada.
El ‘modus operandi’ se basó en técnicas de ingeniería social que consiguieron engañar al líder de la formación naranja para entregar un código enviado por WhatsApp a los atacantes. Estos, previamente, habían forzado el envío de este código denunciando, a través de la propia aplicación, que la cuenta había sido robada.
Al día siguiente una cuenta de Twitter denominada @anonktalonia, revelaba posibles grupos de whatsapp pertenecientes al líder del partido Ciudadanos. Aunque no se atribuía directamente la autoría, la revelación de esta información nos hace entrever que ellos podrían ser quienes estaban detrás del hackeo. Aunque todo esto les duró bien poco, ya que en la tarde del domingo 22 les fue cerrada la cuenta.
Cabe destacar que para llevar a cabo este ataque de ingeniería social, los atacantes solo necesitaron dos cosas: a saber, el número de móvil de Albert Rivera y la participación del propio político en una trampa que tuvo más que ver con las vulnerabilidades propias de la psicología humana, que con conocimientos técnicos especializados en seguridad informática.
La ingeniería social es una rama de la seguridad informática que tiene como objeto de estudio las vulnerabilidades asociadas a la infraestructura humana. Fundamentalmente, la ingeniería social entiende a la persona como un sistema más que puede ser vulnerado si se descubren sus fallos conduciendo a un recursos informático que es el objetivo del ataque. Típicamente, las acciones con éxito en ingeniería social desencadenan en la víctima o bien una liberación de información o bien la realización de una acción y tienen lugar tras explotar un fallo en la manera en que los seres humanos percibimos o gestionamos la información o las emociones. La ingeniería social ha sido siempre en seguridad informática un vector más de entrada a un posible sistema. Siempre se ha estudiado como un técnica válida y, de hecho, se pone en práctica en pruebas de penetración en sistemas controladas por todas las empresas de seguridad que desempeñan estos trabajos. Del mismo modo que una contraseña débil facilita el acceso a un sistema, un individuo no familiarizado con la seguridad, es un excelente vector de entrada a un sistema.
La ingeniería social basa su éxito en la debilidad del usuario, siendo piedra de toque la premisa que considera al humano como el eslabón más débil de la cadena que hace posible que se pueda comprometer todo un sistema. Por este motivo, dejar de auditar la llamada «infraestructura humana», esto es, el modo en el que las personas reaccionan a las trampas o estímulos por parte de un atacante, supone un completo riesgo para las empresas. Las tecnologías evolucionan a diario, no así la psicología humana, que lleva acompañándonos y establecida de forma inalterada, con sus virtudes y carencias, desde que nos constituimos como especie. Siendo esto así, es lógico concluir que para acceder a un sistema informático es más fácil atacar la tradicional psicología humana que un sistema actualizado y fuertemente securizado como un algoritmo de cifrado. He ahí la legitimidad de la Ingeniería Social como una rama más de la seguridad.
Todo esto viene a colación de haber leído en algunos medios, digamos tecnológicos, que no se puede hablar de hackeo puesto que el ataque ha tenido éxito gracias a técnicas de phishing. Si bien sería erróneo hablar de hackeo a Twitter, en tanto que ni su infraestructura humana ni su infraestructura tecnológica han sido objetivos de ataque, sí es técnicamente correcto, tal y como cita la prensa, hablar de un hackeo a la cuenta de Twitter de Albert Rivera. El objetivo del ataque era comprometer un recurso informático: su cuenta. Los vectores empleados incluían tanto factores técnicos -enlaces, comunicación digital – como factores psicológicos.
Otro asunto sería aclarar si el ataque en cuestión ha sido un phishing o no. Para mí y después de aclarar dudas leyendo la definición de Wikipedia, no cabría duda:
Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Se trata de un phishing, bastante artesanal, pero un phishing al fin y al cabo, por lo que la mayoría de los titulares que he venido observando por la prensa en estos días no pueden ser tildados de incorrectos desde una perspectiva técnica. La cuenta de Albert Rivera ha sido hackeada, phishing mediante y, por tanto, aprovechando técnicas de ingeniería social que dejan en evidencia la falta de securización de la psicología humana con respecto a los avances tecnológicos.
Las aplicaciones detectadas han sido instaladas en más de 10 millones de dispositivos y, al ser reportadas como malware, Google procedió a eliminarlas de inmediato.
Entre las aplicaciones detectadas se encuentra «Multi Apps – Multiple accounts simultaneosly» que ha conseguido más de la mitad de las instalaciones totales, por lo que cuenta con más de 5 millones de descargas.
24 de ellas pertenecen a la categoría HiddAd. Este malware oculta su icono después de la primera ejecución y crean accesos directos en la pantalla de inicio con la intención de que los usuarios no la desinstalen fácilmente.
Una vez que los usuarios inician por primera vez la aplicación, ésta empieza a mostrar anuncios a pantalla completa en el dispositivo, incluso alguna de las aplicaciones mostraba los anuncios cuando el dispositivo no está activo y la aplicación está corriendo en segundo plano. La mayoría de estas aplicaciones pertenecen al sector fotográfico.
Las 5 aplicaciones restantes de la lista están clasificadas como Adware y, por norma general, se instalarían en los dispositivos a través de anuncios. Este tipo de malware aprovecha la facilidad que brindan empresas como YouTube o Facebook para crear campañas de publicidad y mostrarse al público. En ocasiones estas aplicaciones prometen cosas tan increíbles como el escaneo de rayos X, pero lo más sorprendente es que 2 de esas aplicaciones que ofrecen «rayos X» han pasado el millón de descargas.
Análisis de aplicaciones HiddAd
Como dijimos más arriba este tipo de aplicaciones oculta su icono tras la primera ejecución. Para esto utiliza el método setComponentEnabledSetting, pero no cuenta con ningún tipo de ofuscación, algo poco común ya que siempre se suele incorporar algún tipo de ofuscación para dificultar el análisis.
Para decidir cuándo se muestran los anuncios en el dispositivo cuenta con la siguiente función:
Como podemos ver, la función calcula en base a la hora de instalación cuándo se van a mostrar los anuncios.
Este tipo de malware muestra una gran cantidad de anuncios al usuario, lo que causará la pérdida de la batería y, en ocasiones, podría llegar a consumir la tarifa de datos móviles de la víctima.
En este caso, al instalar la aplicación de rayos X, automáticamente se abría la cámara y daba varias opciones para elegir: «flash-light, galería, etc.» pero al seleccionar cualquiera de estas opciones se empiezan a mostrar anuncios a pantalla completa sin opción de cerrar u omitir. Para poder cerrar los anuncios mostrados hay que esperar un tiempo considerable hasta que aparece el icono, pero aunque el usuario consiga cerrar el anuncio, inmediatamente se mostrará el siguiente.
Desde Hispasec recomendamos que no se instalen aplicaciones que se muestran al público mediante anuncios en plataformas sociales y, en el caso de estar interesado en alguna de ellas, contrastar la información con el fabricante para evitar este tipo de situaciones.
Se ha revelado una vulnerabilidad crítica en vBulletin que permite la ejecución remota de código sin necesidad de autenticarse
El pasado 23 de septiembre un usuario anónimo reportó en las listas de Full Disclosure una vulnerabilidad que afecta a todas las versiones de vBulletin desde la versión 5, lanzada en 2012. Debido a que no se siguió el procedimiento habitual, el fallo no cuenta con un CVE y se publicó sin un parche disponible al anunciarse.
vBulletin, el software afectado, es uno de los sistemas de foros en PHP más populares de Internet, utilizado por algunas de las mayores comunidades como por ejemplo xda-developers o Forocoches en España. Podría haber más de 100,000 sitios vulnerables.
La vulnerabilidad publicada permite la ejecución remota de código (abreviado como ‘RCE’) en la máquina que aloja el sistema de foros, la cual podría usarse para realizar un volcado de la base de datos o elevar privilegios aprovechando otra vulnerabilidad.
Para la explotación sólo se requiere una petición POST a la raíz del sitio web con dos parámetros: 'routestring=ajax/render/widget_php‘ y 'widgetConfig[code]="<código PHP>"', donde «código PHP» puede ser la función ‘shell_exec’. No es necesario estar autenticado. Además del exploit original puede encontrarse este otro para Python 2 junto con herramientas para probar el fallo en un listado de sitios.
Finalmente, ayer miércoles 25 se publicó un parche oficial en los foros de vBulletin que soluciona este fallo. Los usuarios afectados no sólo deben aplicar el parche: también deben revisar la máquina debido al riesgo de una intrusión. El usuario James Bercegay en Github ha compartido un borrador donde indica las partes de código afectadas.
Se urge a todos los usuarios con la versión 5 de vBulletin a aplicar el parche lo antes posible, o deshabilitar los foros hasta haberlo aplicado. Para minimizar los riesgos en aplicaciones web públicas en Internet se recomienda aislar cada aplicación para evitar que un potencial atacante logre acceso a la máquina host.
Ayer hablábamos de una vulnerabilidad zero-day que afectaba a instalaciones de vBulletin en su versión 5. El mismo día que informábamos de la noticia, el experto en ciberseguridad Troy Mursch, detectó la actividad de una nueva botnet que aprovecha este fallo en el popular sistema de foros para comprometer las máquinas donde se encuentra.
Como dato curioso, el malware no solo compromete el sistema y lo convierte en un esclavo más del administrador de la botnet, sino que también bloquea a otros atacantes que intenten explotar la vulnerabilidad.
Para llevar a cabo sus acciones, los atacantes han utilizado un exploit que modifica el código del archivo «includes/vb5/frontend/controller/bbcode.php» permitiendo la ejecución de código de forma remota y bloqueando además a otros atacantes a través del parámetro $_REQUEST[«epass»], que requerirá una contraseña al atacante antes de ejecutar el eval($code) utilizado para ejecutar comandos en la máquina vulnerable.
En la captura de pantalla ofrecida por el equipo de Bad Packets puede verse la clave utilizada por el atacante: «2dmfrb28nu3c6s9j«.
Según Chaouki Bekrar, CEO y fundador de Zerodium, la empresa dedicada a la compra-venta de exploits, pudieron estar vendiendo este zero-day y su correspondiente exploit desde hace al menos tres años.
Según Mursch, la mayor actividad se concentra en los países de Vietnam, India o Brasil.
Les recordamos a todos los usuarios de vBulletin que podrían estar en riesgo y deberían aplicar cuanto antes el parche para la vulnerabilidad CVE-2019-16759.
Apple ha publicado 9 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, iPadOS, macOS, watchOS, tvOS, Safari, y Xcode. Entre todos los productos se corrigen 16 fallos de seguridad, de cuales 10 podrían permitir la ejecución de código.
A lo largo de esta semana Apple ha publicado 9 boletines de seguridad para sus productos, que se resumen como sigue:
El sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), ha recibido hasta 3 boletines: para iOS 12.4.2 se resuelve una vulnerabilidad de ejecución de código (CVE-2019-8641); para iOS 13.1 e iPadOS 13.1 se soluciona un fallo que permitiría a una persona con acceso físico al terminal acceder a los contactos eludiendo el bloqueo de pantalla (CVE-2019-8775); y para iOS 13.1.1 e iPadOS 13.1.1 se solventa un fallo de seguridad que podría ocasionar que las extensiones de aplicaciones de terceros no recibiesen las restricciones de sandbox adecuadas (CVE-2019-8779).
macOS Mojave 10.14.6 Supplemental Update 2 y los Security Update 2019-005 para High Sierra y Sierra proporcionan la solución a un relacionado con la incorrecta validación de entradas que podría causar una lectura de memoria fuera de límites y derivar en la ejecución remota de código arbitrario (CVE-2019-8641).
Safari 13.0.1 cuenta con otro boletín que soluciona 2 vulnerabilidades. La primera de ellas relacionada con la administración de estado que podría causar la suplantación de la interfaz de usuario al visitar un sitio web malicioso (CVE-2019-8654) y la segunda, relacionada con el tiempo de vida útil de los ‘Service Workers’ que podría ser aprovechada para filtrar el historial de navegación (CVE-2019-8725).
El sistema operativo de los relojes inteligentes de Apple ha recibido también un par de boletines: para watchOS 5.3.2 y para watchOS 6. Ambos resuelven la vulnerabilidad identificada como CVE-2019-8641 que también se encuentra en los sistemas operativos macOS.
tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 13, y se corrige una vulnerabilidad en el componente ‘Keyboards’ que podría permitir la filtración de información confidencial del usuario (CVE-2019-8704).
La versión 11.0 de Xcode resuelve hasta 7 vulnerabilidades en los componentes ‘IDE SCM’, ‘ld64’ y ‘otool’. Seis de ellas podrían permitir la ejecución de código (CVE-2019-8721 a CVE-2019-8724, y CVE-2019-8738 y CVE-2019-8739).
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Según el investigador axi0mX, un nuevo exploit de iOS podría llevar a una liberación permanente (jailbreak) y no bloqueable en cientos de millones de iPhone. Apodado «checkm8«, el exploit es una vulnerabilidad de arranque que podría dar a los hackers acceso a los dispositivos iOS a un nivel que Apple no podría bloquear o parchear con una futura actualización de software. Eso lo convertiría en uno de los mayores avances en la comunidad de hackers de iPhone en años.
Se trata específicamente de un exploit de bootrom (de arranque), lo que significa que aprovecha una vulnerabilidad de seguridad en el código inicial que los dispositivos iOS cargan cuando arrancan. Y como se trata de una ROM (memoria de sólo lectura), Apple no puede sobrescribirla ni parchearla mediante una actualización de software, así que está aquí para quedarse. Es el primer exploit a nivel de bootrom que se publica para un dispositivo iOS desde el iPhone 4, que salió a la venta hace casi una década.
En un tweet de seguimiento, axi0mX explicó que lanzaron la vulnerabilidad al público porque «una vulnerabilidad de bootrom para dispositivos más antiguos hace que iOS sea mejor para todos. Los Jailbreakers y demás desarrolladores podrán liberar sus teléfonos en la última versión y no necesitarán permanecer en las versiones más antiguas de iOS esperando un jailbreak. Estarán más seguros».
EPIC JAILBREAK: Introducing checkm8 (read "checkmate"), a permanent unpatchable bootrom exploit for hundreds of millions of iOS devices.
Most generations of iPhones and iPads are vulnerable: from iPhone 4S (A5 chip) to iPhone 8 and iPhone X (A11 chip). https://t.co/dQJtXb78sG
Cientos de millones de dispositivos iPhone se ven afectados por la vulnerabilidad: cualquier dispositivo desde el iPhone 4S (chip A5) hasta el iPhone 8 y el iPhone X (chip A11) es vulnerable, aunque parece que Apple parcheó el defecto en los procesadores A12 del año pasado, lo que significa que los dispositivos iPhone XS / XR y 11 / 11 Pro no se verán afectados.
Checkm8 es aún muy reciente. Lo que significa que no puedes simplemente descargar una herramienta, liberar tu dispositivo y comenzar a descargar aplicaciones y modificaciones de iOS.
Es importante decir que, por ahora, se trata de un exploit «atado» — o tethered en términos de jailbreaking — lo que significa que sólo puede ser aprovechada a través de USB. También tendría que habilitarse una y otra vez a través de un ordenador, lo que limita la utilidad de una liberación real. Sin embargo, es posible que en un futuro desemboque en una liberación «desatada» o untethered.
Dicho esto, suponiendo que los desarrolladores puedan utilizar checkm8 como punto de partida en iOS (que es un supuesto muy grande todavía), las posibilidades son casi infinitas: dispositivos permanentemente averiados que no se revertirán debido a las actualizaciones de software de Apple, dispositivos iOS degradables que podrían volver fácilmente a las versiones anteriores del software, arranque dual entre múltiples versiones de iOS, y más.
También hay problemas de seguridad. Criminales podrían utilizar la vulnerabilidad para eludir los bloqueos de cuentas iCloud de Apple, que se utilizan para inutilizar los dispositivos robados o perdidos, o para instalar versiones de iOS que roban información de los usuarios. Aunque Apple puede parchear el bootrom para sus dispositivos más nuevos, los cientos de millones de iPhone que ya existen no pueden ser parcheados sin reemplazar el hardware.
La escena de la liberación de iPhone no es tan grande como una vez lo fue. En los primeros tiempos, descifrar los dispositivos de Apple para instalar software personalizado era mucho más atractivo. En aquel entonces, no había manera de instalar aplicaciones de terceros, y las características básicas — como fondos de pantalla personalizables para la pantalla de inicio, la simple multitarea, o la capacidad de copiar y pegar texto — no estaban presentes, lo que dejaba la opción de la liberación como la única manera de obtener esas características. A medida que pasaba el tiempo, iOS se fue completando, dando a la mayoría de los usuarios menos razones para hacerlo, y Apple mejoró en la supresión de los agujeros de seguridad que permitirían a los desarrolladores liberar teléfonos.
El valor de los exploits de iOS también ha aumentado enormemente con el programa bug-bounty de Apple. Esto significa que hay menos incentivos para que los desarrolladores que encuentran vulnerabilidades las hagan públicas.
Todavía hay una comunidad activa de usuarios que insisten en tener control total sobre sus teléfonos y tabletas, pero la combinación de una menor demanda de los beneficios del jailbreak y la falta de exploits importantes (especialmente para los dispositivos más nuevos / versiones de iOS) ha llevado a un cierto estancamiento en la comunidad. Además, ahora hay nuevas alternativas como AltStore, una solución recientemente lanzada para instalar aplicaciones no autorizadas en dispositivos iOS sin la molestia de tener que liberar el dispositivo.
Es demasiado pronto para decir si el checkm8 conducirá a una nueva era dorada para los iPhone hackeables, aunque muchos miembros del hilo en reddit sobre jailbreaking son extremadamente optimistas. Un usuario proclamó que es «literalmente lo más grande que ha pasado en Jailbreaking» debido a la cantidad de versiones que abarca la vulnerabilidad. En cualquier caso, dada su naturaleza y la extensión de los dispositivos que impacta, será algo que deberemos monitorizar en el futuro.
Un ciberdelincuente pakistaní ha accedido de forma no autorizada a una base de datos con más de 218 millones de usuarios de diferentes juegos de móvil desarrollados por Zynga.
El delincuente pakistaní ya había puesto a la venta durante este año bases de datos de otros 45 servicios comprometidos, como 500px, Fotolog, ShareThis y Dubsmash.
En esta ocasión han sido los juegos para smartphone de la compañia Zynga los que se han visto afectados, quedando comprometidos los datos de 218 millones de usuarios de estos juegos.
Bajo el seudónimo ‘Gnosticplayers‘, el hacker ha explicado a ‘The Hacker News‘ que los datos robados pertenecen a usuarios del juego ‘Words With Friends‘.
Dentro de los usuarios afectados se encuentra todos los usuarios de iOS y Android que instalaron e iniciaron sesión en el juego antes del 2 de septiembre de 2019.
Entre los datos incluidos en la base de datos robada por cada usuario podemos encontrar:
Nombre
Dirección de correo electrónico
Identificador de usuario
Hashes de contraseñas (SHA1 con salt)
Tokens para la recuperación de la contraseña
Número de teléfono
Identificador de Facebook al que se encuentra conectado la cuenta
Identificador de la cuenta de usuario de Zynga
Además del juego ‘Words With Friends‘, ‘Gnosticplayers‘ afirma haber accedido también a datos de otros juegos desarrollados por la empresa, como ‘Draw Something‘ o ‘OMGPOP‘, este último juego ya discontinuado.
Zynga ha admitido públicamente la brecha de datos, afirmando que han detectado accesos no autorizados por parte de atacantes externos a datos de los juegos ‘Words With Friends‘ y ‘Draw Something‘.
Actualmente, la compañía está realizando una investigación que les permita conocer el alcance del ataque y quien se encuentra detrás del mismo.
Desde Hispasec, recomendamos a los usuarios de estos juegos para móvil que actualicen sus contraseñas en caso de utilizar la misma en otros servicios. Además, recomendamos no utilizar la misma contraseña en diferentes servicios para evitar que este tipo de problemas afecten al resto de servicios.
El grupo de ciberdelincuentes eGlobber está explotando dos vulnerabilidades del navegador para mostrar anuncios emergentes intrusivos y redirigir a los usuarios a sitios web maliciosos.
El presupuesto del grupo eGlobber les permite hacer una gran inversión en publicidad para mostrar miles de millones de anuncios en sitios web legítimos, pero en vez de confiar en la intención deliberada de los visitantes a la hora de hacer click en los anuncios los ciberdelincuentes utilizan vulnerabilidades en los navegadores Chrome y Safari para lograr una alta tasa de clicks sobre los anuncios y secuestrar la mayor cantidad posible de sesiones de los usuarios.
La pasada campaña de eGlobber explotó la vulnerabilidad CVE-2019-5840 en Chrome para iOS, lo que les permitió evitar con éxito el bloqueador de ventanas emergentes y así secuestrar 500 millones de sesiones de usuarios móviles para mostrar anuncios emergentes.
Google parcheó la vulnerabilidad en junio, pero los atacantes siguen explotando la vulnerabilidad en todos los dispositivos que aún no han sido actualizados.
Recientemente investigadores de Confiant han descubierto que el grupo de ciberdelincuentes eGlobber está explotando una vulnerabilidad en el motor del navegador Safari, utilizado en iOS y macOS, Chrome para iOS y también en versiones de Chrome para escritorio.
Este nuevo exploit de eGlobber es muy interesante porque no requiere que los usuarios hagan click encima de los anuncios que aparecen en las webs legítimas, para maximizar el resultado se aprovechan del fallo de seguridad encontrado para mostrar webs que descargan malware tan pronto como empiezan a hacer scroll hacia abajo.
Esto se debe a que la vulnerabilidad de WebKit está basada en la función de evento JavaScript <<onKeyDown>>.
Aunque la tienda de aplicaciones de Apple restringe toda las aplicaciones de iOS con capacidad de navegación web para utilizar su WebKit, incluido Google Chrome para iOS, los usuarios de dispositivos móviles tienen menos posibilidades de verse afectados ya que el evento <<onKeyDown>> no funciona en dispositivos móviles.
Se cree que entre el 1 de agosto y el 23 de septiembre los anuncios mostrados de forma fraudulenta han obtenido 1,16 mil millones de impresiones.
Confiant informó a Google y Apple de forma privada sobre la vulnerabilidad en WebKit. Apple solucionó el fallo en WebKit el 19 de septiembre, y en el navegador Safari el 24 de septiembre, mientras que Google aún no lo ha solucionado en Chrome.
Se ha publicado una nueva vulnerabilidad en el servidor de correo Exim que permitiría a un atacante ejecutar código arbitrario o bloquear el servicio.
Exim es un agente de transporte de correo de código abierto desarrollado para sistemas operativos tipo Unix que está en funcionamiento en el 60% de los servidores de correo de internet.
Los desarrolladores han liberado a principios de esta semana una actualización de seguridad urgente que soluciona esta vulnerabilidad. Previamente a la liberación de este parche, se avisó con antelación de esta falla para que el máximo número de usuarios posible estuvieran al corriente de las versiones afectadas que son la 4.92 hasta la 4.92.2
A principios de este mes, el equipo de Exim liberó otra actualización para una ejecución remota de código (CVE-2019-15846) que permitía la ejecución de comandos como root.
Esta vulnerabilidad la ha descubierto investigador Jeremy Harris, tiene identificador CVE-2019-16928 y se trata de un desbordamiento del heap en la función string_vformat definida en el fichero string.c, que contiene el manejo de la opcion EHLO.
Esta falla de seguridad podría permitir la ejecución de órdenes arbitrarias o causar una denegación de servicio, mediante la inserción de texto especialmente diseñado en la opcion EHLO.
Desde Hispasec recomendamos a todos los usuarios de Exim revisar sus instalaciones y actualizar cuanto antes a la versión 4.92.3
El pasado 2 de octubre la compañía alertaba a sus usuarios de un acceso no autorizado a una de sus bases de datos que afectaría a cuentas anteriores a noviembre de 2016.
Zendesk es un sistema para la gestión de tickets de soporte y atención al cliente utilizado por más de 145.000 organizaciones en todo el mundo. El 24 de septiembre, alertados por un tercero, se identificaron aproximadamente 10.000 cuentas de los servicios «Support» y «Chat» a las cuales se tuvo acceso no autorizado. Todas estas cuentas son anteriores a noviembre de 2016 e incluyen algunas ya inactivas.
La información a la que se tuvo acceso incluía información personal sobre el cliente y otros datos sobre el servicio. No se tienen evidencias de que se accediese a la información sobre los tickets gestionados a través de la plataforma.
En concreto, los atacantes han tenido acceso a:
Direcciones de correo
Nombres y números de teléfono
Contraseñas (hash con sal)
Adicionalmente, se ha conseguido acceder a información de autenticación de unas 700 cuentas de clientes, incluyendo algunas desactivadas. Esta información incluye:
Claves de cifrado TLS
Configuraciones de aplicaciones instaladas desde el marketplace de Zendesk
Zendesk ya ha informado directamente a los clientes afectados y está llevando a cabo políticas de rotación de contraseñas en los servicios de «Support» y «Chat» para las cuentas afectadas. Esto podría afectar a otros servicios que compartan autenticación, como «Guide», «Talk» o «Explore».
Si es usted un usuario afectado recibirá un correo con las instrucciones para asegurar su cuenta. Así mismo, si sus credenciales se han visto vulneradas, tendrá que restablecerlas en el próximo intento de login.
Casi todas las aplicaciones contienen vulnerabilidades de seguridad, algunas de las cuales se pueden encontrar hoy en día, pero otras permanecen invisibles hasta que alguien más las encuentra y las explota, que es la dura realidad de la ciberseguridad y su estado actual.
Y cuando decimos esto, Signal Private Messenger -promocionado como uno de los mensajeros más seguros del mundo- no es una excepción.
La investigadora del Project Zero de Google, Natalie Silvanovich, descubrió una vulnerabilidad lógica en esta aplicación de mensajería para Android que podía permitir que una llamada maliciosa forzara la respuesta del receptor sin requerir su interacción.
En otras palabras, el defecto podría ser aprovechado para encender el micrófono de un dispositivo de un usuario de Signal específico y escuchar todas sus conversaciones.
Sin embargo, la vulnerabilidad de la señal solo puede ser explotada si el receptor no responde a una llamada de audio por encima de la de Signal, forzando al final, que la llamada entrante sea contestada automáticamente en el dispositivo del receptor.
"En el cliente Android, hay un método handleCallConnected que hace que la llamada termine de conectarse. Durante el uso normal, se llama en dos situaciones: cuando el usuario selecciona 'aceptar', y cuando el dispositivo que llama recibe un mensaje entrante de 'conectar' que indica que el usuario ha aceptado la llamada", explica Silvanovich en el blog Chromium.
"Utilizando un cliente modificado, es posible enviar el mensaje de 'conectar' a un dispositivo llamado cuando una llamada entrante está en curso pero aún no ha sido aceptada por el usuario. Esto hace que la llamada sea contestada, aunque el usuario no haya interactuado con el dispositivo".
Hay que tener en cuenta que «la llamada conectada sólo será una llamada de audio, ya que el usuario necesita habilitar manualmente el vídeo en todas las llamadas«.
Silvanovich también mencionó que «Signal tiene esta gran superficie de ataque remoto debido a las limitaciones de WebRTC«, y que el fallo de diseño también afecta a la versión iOS de la aplicación de mensajería, pero no puede ser explotado porque «la llamada no se completa debido a un error en la interfaz de usuario causado por la inesperada secuencia de estados«.
Silvanovich informó de esta vulnerabilidad al equipo de seguridad de Signal la semana pasada. El equipo de seguridad de Signal inmediatamente reconoció el problema y lo parcheó en pocas horas el mismo día con el lanzamiento de Signal para Android v4.47.7.
La existencia de una vulnerabilidad ZeroDay daría control total sobre al menos 18 modelos diferentes de teléfonos que usan el sistema operativo Android de Google, incluyéndose entre estos cuatro modelos Pixel, según informaba un investigador de Project Zero de Google el jueves por la noche.
La investigadora Maddie Stone de Project Zero publicó que se han encontrado pruebas de que la vulnerabilidad está siendo explotada de manera activa, ya sea mediante el desarrollador de exploits NSO Group o uno de sus clientes. Los exploits requieren poca o ninguna personalización para poder hacerse con el control total de los teléfonos vulnerables. La vulnerabilidad sobre la que aquí hablamos se puede explotar de dos maneras distintas:
Cuando la víctima instala una aplicación de una fuente poco confiable.
Mediante ataques en línea, combinando el primer exploit con un segundo exploit teniendo como objetivo una vulnerabilidad en el código que el navegador Chrome utiliza para mostrar el contenido.
“El bug se trata de una vulnerabilidad consistente en la escalada de privilegios en local, la cual permite comprometer totalmente el dispositivo vulnerable”, escribía Stone. “Si el exploit se lanza vía web, solo necesita ser emparejado con un exploit de visualización, ya que esta vulnerabilidad es accesible a través de sandbox”.
Una lista “no exhaustiva” de teléfonos vulnerables son:
Pixel 1
Pixel 1 XL
Pixel 2
Pixel 2 XL
Huawei P20
Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi A1
Oppo A3
Moto Z3
Oreo LG phones
Samsung S7
Samsung S8
Samsung S9
Un miembro del equipo Android de Google comunicaba en el mismo hilo de Project Zero que la vulnerabilidad sería parcheada – en dispositivos Pixel – en la actualización de seguridad de Android de octubre, la cual parece que estará disponible en los próximos días. Sin embargo, no está claro para cuándo estarán listas las actualizaciones para el resto de dispositivos. Los modelos Pixel 3 y Pixel 3a no se ven afectados por esta vulnerabilidad.
“Este problema está catalogado como de alto riesgo según Android, y requiere de la instalación de aplicaciones maliciosas para que se lleve a cabo la explotación”, escribía Tim Willis, otro miembro de Project Zero, citando a miembros del equipo de Android. “Cualquier otro vector, como los navegadores web, necesita ser ejecutado con un exploit adicional”.
Los representantes de Google escribieron en un email: “Los modelos Pixel 3 y 3a no son vulnerables, y los modelos Pixel 1 y 2 quedarán protegidos con la actualización de seguridad que se lanzará en octubre en los próximos días. Además, se ha publicado un parche para otros dispositivos para asegurarnos de que el ecosistema Android queda protegido contra esta vulnerabilidad”.
Ya en 2018 se solucionó la vulnerabilidad existente en el kernel de Linux mediante el lanzamiento de la versión 4.14, aunque sin el beneficio de la asignación de un CVE. Dicha solución se incorporó también en las versiones 3.18, 4.4 y 4.9 del kernel de Android. Por razones que no fueron explicadas en la publicación, los parches no fueron incluidos en las actualizaciones de seguridad de Android. Eso explicaría por qué los modelos Pixel son vulnerables mientras que versiones posteriores no lo son. La vulnerabilidad ahora ha sido identificada con el código CVE-2019-2215.
Stone dijo que la información que recibió del Grupo de Análisis de Amenazas de Google apuntaba a que el exploit “presuntamente estaba siendo utilizado o vendido por NSO Group”, un desarrollador de exploits que los vende a entidades gubernamentales. Constituida en Israel,, NSO se hizo con la atención del público tras el descubrimiento y desarrollo en 2016 y 2017 de un spyware avanzado para móviles llamado Pegasus. Este spyware gana privilegios root tanto en dispositivos iOS como Android para rastrear mensajes privados, activar el micrófono y la cámara, y recolectar cualquier tipo de información sensible. Investigadores del Citizen Lab de la Universidad de Toronto comunicaron que la versión de Pegasus que afectaba a iOS tenía como objetivo disidentes políticos de los Emiratos Árabes.
A principios de este año, Citizen Lab descubrió pruebas de que NSO desarrolló un exploit avanzado que afectaba a la aplicación de mensajería instantánea WhatsApp, el cual también instalaba spyware en teléfonos vulnerables, sin necesitar que el usuario realizara ningún tipo de acción. También se relacionó con NSO una operación encubierta que tenía como objetivo a Citizen Lab.
“Como cliente de NSO, me preocuparía que la notoriedad que ha alcanzado NSO conlleve un fuerte escrutinio de equipos e investigadores de seguridad que pudiese acabar afectando a mis operaciones de espionaje más sensibles”, comunicaba a Ars John Scott-Railton, un investigador senior de Citizen Lab.
Los representantes de NSO no respondieron de manera inmediata a un correo en el que se les pedía que hicieran algún tipo de comentario al respecto.
Project Zero da a los desarrolladores 90 días para resolver las vulnerabilidades antes de publicar informes sobre la misma excepto en los casos en los que existan exploits activos. La vulnerabilidad de Android fue publicada siete días después de que se reportase de manera privada al equipo de Android.
Mientras que la vulnerabilidad reportada el jueves es seria, no se pretende crear una alarma excesiva entre los usuarios de Android. Las posibilidades de que se produzca la explotación de una vulnerabilidad tan cara y específica como lo es la descrita por Project Zero son extremadamente bajas. No obstante, se recomienda no instalar aplicaciones que no sean esenciales y utilizar un navegador distinto a Chrome hasta que se instale el parche.
Se ha publicado una vulnerabilidad en WhatsApp que podría permitir la ejecución de código arbitrario en el dispositivo objetivo.
WhatsApp es un cliente de mensajería instantánea enfocado a dispositivos móviles disponible para múltiples plataformas. Permite el intercambio de cualquier fichero y actualmente es una de las aplicaciones de mensajería instantánea más utilizadas en el mundo, sino la que más.
La vulnerabilidad ha sido descubierta por un investigador que se hace llamar ‘Awakened’, se le ha asignado el identificador CVE-2019-11932 y sólo afecta a las aplicaciones de los dispositivos Android.
El error está localizado en la función ‘DDGifSlurp’ localizada en el fichero ‘decoding.c’ existente en la librería ‘libpl_droidsonroids_gif , y puede reproducirse al leer un fichero ‘Gif’ especialmente manipulado. Esto quiere decir que con solo cargar la miniatura del gif es suficiente. Es preocupante porque al abrir el explorador de archivos que muestran las miniaturas de las imágenes puede ser suficiente para reproducir la vulnerabilidad.
La vulnerabilidad es producida por un error al leer en el puntero ‘rasterBits’ de la estructura ‘GifInfo’ que podría permitir liberacíon de memoria previamente descartada pudiendo permitir la ejecución de código arbitrario en el dispositivo objetivo. Esto puede ir desde la lectura de las conversaciones de WhatsApp hasta la lectura de cualquier fichero existente en el sistema.
La vulnerabilidad ha sido confirmada por Facebook y ya ha sido corregida en la versión 2.19.244 o posterior.
