Día Cero en Aplicacion de administración de Google en Android puede saltarse el Sandbox

Primero que nada, para algunos de nuestros lectores que se preguntaran:

¿Y qué es el Sandbox o Sandboxing? Este “cajón de arena” (traducción literal al castellano) es un aislamiento de procesos, es decir, un mecanismo que implementan varias aplicaciones para ejecutar aplicaciones y programas con seguridad y “aislarlas” del resto del sistema dentro de una especie de contenedor virtual desde el cual controlar los distintos recursos que solicita dicha aplicación (memoria, espacio en disco, privilegios necesarios, etc). Este férreo control al que se somete el proceso sirve para discernir si el código a ejecutar es malicioso o no puesto que, por norma general, se restringirá cualquier tipo de acceso a dispositivos de entrada o de inspección del sistema anfitrión.

Una vez aclarado esto, continuamos con la nota:

Imagen: ThreatPost

El equipo de seguridad de Android de Google está teniendo un mes muy ocupado. Primero las vulnerabilidades Stagefright que surgieron el mes pasado justo antes de Black Hat y ahora los investigadores de MWR laboratorios han publicado información sobre una vulnerabilidad sin parche que permite a un atacante eludir la caja de arena de Android.

La vulnerabilidad reside en la forma en que la aplicación del administrador de Google en los teléfonos Android se encarga de algunas direcciones URL. Si otra aplicación en el teléfono envía la aplicación de administración de un tipo específico de URL a un atacante puede pasar por alto la misma política de Origen y obtener datos de la caja de arena de administración.

“Una situación fue encontrado cuando la aplicación del administrador de Google recibió una URL a través de una llamada IPC desde cualquier otra aplicación en el mismo dispositivo. La aplicación de administración sería cargar esta URL en un webview dentro de su propia actividad. Si un atacante utiliza un archivo: // URL a un archivo que ellos controlaban, entonces es posible usar enlaces simbólicos para eludir Same Origin Policy y recuperar datos fuera de la caja de arena del administrador de Google “, dice el asesor de MWR laboratorios.

Un atacante puede explotar esta vulnerabilidad al obtener una aplicación maliciosa en el teléfono de la víctima. MWR Labs notifico a Google de la vulnerabilidad en marzo y Google reconoció el informe de inmediato y más tarde dijo que tendría un parche listo para junio. Pero la solución no fue publicada y la semana pasada Google informó a MWR Labs que planeaba lanzar su aviso, que fue publicado el jueves.

Google no respondió a una solicitud de comentarios sobre esta historia. La vulnerabilidad afecta a la versión actual de la aplicación, y puede afectar a las versiones anteriores también.

“La aplicación Google Admin (com.google.android.apps.enterprise.cpanel), tiene una actividad exportada que acepta una cadena extra llamada setup_url. Esta puede ser invocada por cualquier aplicación en el dispositivo creando de un nuevo intento estableciendo datos uri a http://localhost/foo y la cadena setup_url programada a una URL de archivos que pueden escribir en, como file://data /data/com.themalicious.app/worldreadablefile.html, ” dijo el asesor de MWR.

“El ResetPinActivity entonces carga esto en el WebView bajo los privilegios de la aplicación del administrador de Google.”

MWR dice que hasta que Google no despliegue el parche, los usuarios con la aplicación del administrador de Google no deben instalar ninguna aplicación de terceros que no sea de confianza, lo que es un buen consejo para cualquier usuario de teléfono móvil.

Leave a Reply