Noticias

La mitad de los dispositivos Android afectados por una vulnerabilidad

Hispasec - hace 6 horas 26 mins
Investigadores de Palo Alto Networks han publicado una alerta en la que informan de una vulnerabilidad en Android que podría permitir la instalación de aplicaciones maliciosas sin conocimiento del usuario.
La vulnerabilidad se ha bautizado como "Android Installer Hijacking" (Secuestro del Instalador Android). Básicamente el problema reside en que durante el proceso de instalación un atacante puede modificar o reemplazar una aplicación legítima con malware sin el conocimiento del usuario. Esto solo afecta a aplicaciones descargadas desde repositorios alternativos o cualquier otra fuente diferente a "Google Play". La aplicación maliciosa podría conseguir acceso total al dispositivo comprometido.
El problema afecta a todos los sistemas Android anteriores a la versión 4.3 y a algunas distribuciones de Android 4.3, un parque que se estima en torno a un 49,5 por ciento de los dispositivos Android actuales. . Como se sabe, Android soporta la posibilidad de instalar aplicaciones descargadas desde la propia tienda de Google o bien desde cualquier otra fuente alternativa. Google Play descarga los paquetes de instalación Android (APKs) a un espacio protegido del sistema de archivos. Sin embargo al descargar desde terceras partes (repositorios alternativos o cualquier otra fuente) los archivos APK se almacenan en una carpeta no protegida (p.ej. /sdcard/) y desde esa localización se instalan directamente. Para completar la instalación siempre se emplea una aplicación del sistema llamada "PackageInstaller".
El problema reside en una vulnerabilidad de "Time of Check to Time of Use" (TOCTOU) en el "PackageInstaller". Este tipo de vulnerabilidades se da cuando se produce un cambio entre el momento en que se realiza una comprobación ("Time of Check") y el momento en que se usa esa comprobación ("Time of Use"). Esto se traduce en que "PackageInstaller" no verifica el archivo APK entre el momento en que se muestran al usuario los permisos necesarios y después de haber aceptado la instalación, por lo que en ese momento se puede reemplazar la aplicación que se está instalando.
La vulnerabilidad de secuestro del instalador afecta a archivos APK descargados en un espacio no protegido porque cualquier otra aplicación puede acceder a dicho espacio, algo que no ocurre en el espacio protegido de la Play Store.
Diferentes escenarios
Se pueden dar varios escenarios para explotar la vulnerabilidad, se puede emplear una aplicación aparentemente benigna, que no requiera permisos especiales, para comprometer otras aplicaciones en el futuro. Por ejemplo si la víctima instala una "App X" aparentemente legítima (que ni siquiera requiere ningún tipo de permisos especiales). Posteriormente, la víctima instala una tienda de aplicaciones totalmente legítima (como la tienda de aplicaciones de Amazon) que permite instalar archivos APK desde el sistema de archivos local. Cada vez que se instalan archivos desde esta tienda se lanza una vista de "PackageInstallerActivity". Sí el usuario intenta descargar una "App Y" desde esta tienda, la "App X" detectará que se lanza la vista de "PackageInstallerActivity" y comprueba si la "App Y" se encuentra en un espacio público (p.ej. en /sdcard) en cuyo caso, mientras el usuario visualiza la pantalla de permisos, la "App X" podría sobreescribir la "App Y". Si el usuario acepta la instalación, se instalará la "App Y" comprometida con el malware y los permisos que el atacante necesite.
También se puede emplear la vulnerabilidad para enmascarar los permisos que la aplicación requiere realmente. La víctima instalará la "App X" aparentemente legítima. Mientras la usa se promociona una "App Y" legitima para su instalación. Si el usuario instala la aplicación se iniciará la vista "PackageInstallerActivity" que no requerirá ningún permiso especial. Y al igual que en el ejemplo anterior mientras el usuario visualiza la pantalla de permisos la "App X" podría sobreescribir la "App Y" con malware. Si el usuario acepta la instalación, se instalará la "App Y" comprometida con el malware ignorando los permisos solicitados.
Recomendaciones
Palo Alto Networks ha publicado un escáner en Google Play para comprobar si la vulnerabilidad puede afectar al dispositivo. Se encuentra disponible desde:https://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscannerAdemás ofrece el código del escáner en:https://github.com/PaloAltoNetworks-BD/InstallerHijackingVulnerabilityScanner
Como es habitual se aconseja a todos los usuarios descargar las aplicaciones de Android desde el repositorio oficial de Google (https://play.google.com/store).
Desde la Android Open Source Project (AOSP) de Google se ha confirmado la publicación de parches para este problema para la distribución Android 4.3 y posteriores. La actualización está disponible desde https://android.googlesource.com/platform/packages/apps/PackageInstaller/+/2b3202c3ff18469b294629bf1416118f12492173El equipo de seguridad de Android también confirma que no han detectado ataques intentando aprovechar esta vulnerabilidad.
Como siempre el problema está en el tempo que los fabricantes se toman para implantar y distribuir las actualizaciones del sistema operativo a sus usuarios.
Amazon, por su parte, también ha solucionado el problema en su tienda de aplicaciones, que puede actualizarse desde www.amazon.com/getappstore
Más información:
Android Installer Hijacking Vulnerability Could Expose Android Users to Malwarehttp://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/
una-al-dia (19/02/2014) Android, a vueltas con el problema de los parches que nunca llegan
http://unaaldia.hispasec.com/2014/03/actualizacion-de-seguridad-para-google.html

Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Huawei, el mayor solicitante mundial de patentes en 2014

Canal PDA - hace 10 horas 26 mins
La firma china Huawei ha superado a Panasonic como principal solicitante de patentes internacionales ante la Organización Internacional de la Propiedad Intelectual (WIPO) durante el año pasado. Huawei presentó 3.442 solicitudes en el marco del Tratado de Cooperación sobre Patentes (PCT) de la WIPO. Entre los 50 primeros solicitantes, Huawei registró el mayor incremento (1.332 […]
Categorías: PDA / PPC

Instagram presenta una aplicación de mosaicos fotográficos para iPhone

Canal PDA - hace 10 horas 27 mins
Instagram ha lanzado una aplicación independiente de “relatos visuales” llamada Layout, que sirve para combinar varias fotos en un mosaico que a continuación se puede publicar en Instagram o en Facebook. El usuario puede elegir hasta nueve imágenes del carrete de su cámara y la aplicación le muestra vistas previas de diversos mosaicos que, a […]
Categorías: PDA / PPC

Apple prepara la llegada de las aplicaciones al Apple TV

Canal PDA - hace 10 horas 45 mins
Apple parece estar preparando una renovación de su descodificador Apple TV que permitirá instalar aplicaciones de terceros, lo que abriría la puerta a la creación de una App Store específica para el dispositivo. Según diversas informaciones, la empresa hará pública la medida durante su convención Worldwide Developer Conference (WWDC), que tendrá lugar en junio. También […]
Categorías: PDA / PPC

Microsoft presenta otro Lumia aún más barato

Canal PDA - hace 10 horas 53 mins
Microsoft ha presentado el que califica de “el Lumia más asequible hasta la fecha”, siguiendo con su política de ampliar su gama de smartphones hacia los niveles de precio más bajos. El terminal, llamado Lumia 430 Dual SIM, tiene un precio recomendado de 70 dólares (unos 66 euros) y promete poner “las aplicaciones más recientes […]
Categorías: PDA / PPC

Telefónica vende su filial británica O2 a Hutchison Whampoa

Canal PDA - hace 10 horas 56 mins
El conglomerado Hutchison Whampoa, con sede en Hong Kong y propietario de la operadora británica 3 UK, ha acordado con Telefónica comprarle O2 UK, la segunda mayor compañía de móvil del Reino Unido, por 14.000 millones de euros. La operación está pendiente de aprobación por parte de los organismos reguladores. El importe total se fraccionará […]
Categorías: PDA / PPC

Certificados fraudulentos, suma y sigue

Hispasec - Mié, 25/03/2015 - 18:00
Apenas ha pasado una semana desde que Microsoft anunciara la emisión de un certificado fraudulento, cuando se ha detectado otro que en esta ocasión pretende legitimar páginas falsas de google.com (entre otras). Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.

Lo que ha ocurrido (otra vez y ya hemos perdido la cuenta) es que se han emitido certificados falsos por una autoridad certificadora intermedia. En esa ocasión Google cree que la implicada pertenece a una empresa egipcia llamada MCS Holdings, que ha sido firmado a su vez, por una CA de primer nivel o raíz: CNNIC (China Internet Network Information Center). 
Google detalla que CNNIC les explicó que habían contratado con MCS Holdings con la condición de que esta compañía solo emitiera certificados para dominios que tuvieran registrados. Si embargo, en vez de mantener la clave en un módulo de seguridad hardware (HSM), MCS lo instaló en un proxy man-in-the-middle. Estos sistemas son comúnmente empleados por las empresas para interceptar el tráfico de sus empleados para monitorizarlo o por cualquier otra necesidad. Los ordenadores de los empleados normalmente tienen que ser configurados para confiar en el proxy. Sin embargo, en este caso, al proxy se le dio toda la autoridad de una entidad de certificación pública, lo cual es una violación grave del sistema de certificaciones. Según declara Google esta situación es similar al fallo de ANSSI en 2013.
En este caso los dominios afectados son:
  •     *.google.com
  •     *.google.com.eg
  •     *.g.doubleclick.net
  •     *.gstatic.com
  •     www.google.com
  •     www.gmail.com
  •     *.googleapis.com

CNNIC está incluido en todos los almacenes de certificados raíz, por lo que la mayoría de navegadores y sistemas operativos confiará en los certificados fraudulentos sin embargo gracias al "pinning" de certificados Chrome sobre Windows, OS X o Linux; ChromeOS y Firefox 33 (y superiores) evitarán aceptar estos certificados falsos.
"Certificate pinning" es una interesante opción en la que el certificado lleva especificado en quien se ha de confiar para validar el certificado, desechando certificados, aun siendo válidos, de otras CAs aunque estas estén en nuestro almacén.
Microsoft ha publicado la actualización correspondiente para la revocación de certificados en toda la familia Windows, mediante el KB 3050995 disponible a través de Windows Update o los canales oficiales de descarga.
Por otra parte, Microsoft advierte que los certificados revocados se actualizan automáticamente en sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, así como para los dispositivos Windows Phone 8 y Windows Phone 8.1 para estos sistemas operativos los usuarios no necesitarán llevar a cabo ninguna acción.
También para sistemas con Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 se recomienda la instalación del actualizador automático de certificados revocados que evitará la necesidad de realizar cualquier acción, ya que los sistemas se actualizarán automáticamente de igual forma.
Googleal igual que Mozillay Microsofthan emitido alertas y han revocado y bloqueado el uso de estos certificados. Una vez más se evidencia el riego que plantea el uso de los certificados y la cadena de autoridades de certificación y la confianza de los navegadores. Cuando no se trata de un certificado robado, es una seguridad inadecuada o un error humano, pero en los últimos años este tipo de problemas son cada vez más frecuentes de lo que cabría desear.
Más información:
Maintaining digital certificate security http://googleonlinesecurity.blogspot.com.es/2015/03/maintaining-digital-certificate-security.html
Revoking Trust in one CNNIC Intermediate Certificatehttps://blog.mozilla.org/security/2015/03/23/revoking-trust-in-one-cnnic-intermediate-certificate/
Microsoft Security Advisory 3050995 Improperly Issued Digital Certificates Could Allow Spoofinghttps://technet.microsoft.com/library/security/3050995
Documento informativo sobre seguridad de Microsoft: certificados digitales emitidos de forma incorrecta podrían permitir la suplantaciónhttp://support.microsoft.com/es-es/kb/3050995
una-al-dia (17/03/2015) Un nuevo certificado fraudulento, esta vez de Microsofthttp://unaaldia.hispasec.com/2015/03/un-nuevo-certificado-fraudulento-esta.html
una-al-dia (10/12/2013) Nuevos certificados fraudulentos para dominios de Googlehttp://unaaldia.hispasec.com/2013/12/nuevos-certificados-fraudulentos-para.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero

Categorías: Seguridad

Vodafone españa anuncia el lanzamiento de HTC One M9

Canal PDA - Mié, 25/03/2015 - 14:19
Vodafone España anuncia la comercialización desde hoy de HTC One M9 que está disponible en la Tienda Online de la operadoray en las tiendas Vodafone. De esta forma, los Clientes de Vodafone podrán sacar todo el partido de sus redes 4G y 4G+ para ver películas, escuchar música en streaming o navegar por Internet con […]
Categorías: PDA / PPC

Microsoft y Samsung amplían su alianza

Canal PDA - Mié, 25/03/2015 - 14:06
Microsoft y Samsung han ampliado su alianza global, diseñada para “llevar los servicios de productividad móvil de Microsoft a más consumidores y clientes de empresa”, mediante la preinstalación de sus productos en algunos de los dispositivos Android de la marca surcoreana. Samsung ofrecerá “productividad móvil protegida a las empresas” en forma de un nuevo Business […]
Categorías: PDA / PPC

TomTom Go Mobile, aplicación gratuita para Android

Canal PDA - Mié, 25/03/2015 - 12:42
Una nueva aplicación para dispositivos Android: TomTom (TOM2) GO Mobile con TomTom Traffic ya está disponible, de forma gratuita, en 64 Google Play stores. Ahora los usuarios podrán experimentar la navegación premium de TomTom y la información de tráfico en tiempo real conduciendo hasta 75km al mes sin coste. Los conductores pueden actualizar a una […]
Categorías: PDA / PPC

La Cero y La Sin: nuevas tarifas de Suop

Canal PDA - Mié, 25/03/2015 - 12:04
Suop, el operador móvil gestionado por sus usuarios, lanza dos nuevas tarifas prepago: LA CERO y LA SIN. Estas dos nuevas tarifas nacen de las propuestas de la comunidad Suop.. La Cero: llamadas a 0 cént/min. a cualquier número nacional los 10 primeros minutos. A partir de ahí, pasamos a 6 cént/min. Establecimiento: 18 céntimos. […]
Categorías: PDA / PPC

Kallik y Zebra Technologies aumentan la eficiencia de las compañías sanitarias con soluciones para internet of things

Canal PDA - Mié, 25/03/2015 - 10:29
Kallik, compañía de Etiquetas y Material gráfico, ha anunciado una alianza tecnológica estratégica con Zebra Technologies Corporation (NASDAQ: ZBRA), líder global en productos y servicios que dotan de visión a tiempo real, de los activos empresariales, personas y transacciones. Como resultado de esta alianza, ofrecerán soluciones que ampliarán el alcance y los beneficios del sistema […]
Categorías: PDA / PPC

Apple publica actualización de seguridad para OS X Yosemite

Hispasec - Mié, 25/03/2015 - 00:30
Apple ha publicado la actualización "Security Update 2015-003" para su sistemas operativo OS X Yosemite 10.10.2, que soluciona dos problemas de seguridad considerados críticos.
Los problemas corregidos residen en iCloudKeychain (CVE-2015-1065) debido a múltiples desbordamientos de búfer y IOSurface (CVE-2015-1061) debido a una confusión de tipos en el tratamiento de objetos serializados. Ambos problemas podrían permitir la ejecución de código arbitrario.
Esta actualización también incluye el Security Update 2015-002 publicado hace dos semanas.
Se puede emplear "Software Update" para comprobar las últimas actualizaciones disponibles empleando la "Mac App Store". O descargándola desde:https://support.apple.com/kb/DL1800?locale=en_US
Más información:
About Security Update 2015-003This document describes the security content of Security Update 2015-003.https://support.apple.com/en-us/HT204563
una-al-dia (10/03/2015) Actualización de productos Apple incluye iOS y OS Xhttp://unaaldia.hispasec.com/2015/03/actualizacion-de-productos-apple.html

Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categorías: Seguridad

The App Date: Elvira Lindo: “Instagram es un diario de mi vida”

Canal PDA - Mar, 24/03/2015 - 19:05
Fotos para retratar a los seres queridos, para contar historias, para vender, para expresar un mundo propio… El universo app y los smartphones han transformado nuestra relación con las imágenes y ya es imposible concebir los teléfonos inteligentes sin aplicaciones tan masivas como Instagram, Camera + o VSCOCam, como también resulta hoy en día imposible […]
Categorías: PDA / PPC

Hama lanza al mercado Push, su nueva línea de fundas universales para smartphone

Canal PDA - Mar, 24/03/2015 - 16:54
El fabricante de accesorios para productos tecnológicos Hama presenta Push, su última apuesta para conquistar el mercado de las fundas para smartphones con la que ofrece un componente funcional y versátil, compatible con una gran variedad de modelos y destinado a todos aquellos que busquen el mayor confort a la hora de usar su dispositivo.Las […]
Categorías: PDA / PPC

Una nueva tecnología de Ford puede evitar automáticamente que los conductores superen los límites de velocidad

Canal PDA - Mar, 24/03/2015 - 15:00
Superar los límites de velocidad permitidos puede salir caro, en forma de multas y la retirada temporal del carnet de conducir, además de ser un factor significativo en muchos accidentes de tráfico. Ford Motor Company va a lanzar una nueva tecnología que puede ayudar a los conductores a evitar que superen los límites de velocidad, […]
Categorías: PDA / PPC

Gemalto: el intento de espionaje demuestra la robustez de las tarjetas SIM

Canal PDA - Mar, 24/03/2015 - 14:19
Olivier Piou, consejero delegado de la firma holandesa Gemalto, fabricante de tarjetas SIM, considera que el intento fallido de las agencias de espionaje de EEUU y el Reino Unido de hacerse con sus claves de cifrado constituye una vindicación de la robustez del sistema SIM. En una entrevista con Mobile World Live, Piou destaca que […]
Categorías: PDA / PPC

Foxconn duplicó beneficios en 2014

Canal PDA - Mar, 24/03/2015 - 14:14
La firma de Taiwan FIH Mobile (antes denominada Foxconn International Holdings), filial de Hon Hai Precision, ha informado de que sus beneficios netos del año pasado aumentaron un 118% respecto al anterior, alcanzando los 5.300 millones de TWD (154 millones de euros), gracias a la fuerte demanda de smartphones por parte de Apple y de […]
Categorías: PDA / PPC

Tag Heuer lanzará un reloj inteligente de lujo con Android e Intel

Canal PDA - Mar, 24/03/2015 - 14:00
La relojera de lujo Tag Heuer se ha aliado con Google e Intel para crear un reloj inteligente con sistema operativo Android Wear. Tag Heuer es la primera marca de relojes de gama alta que se introduce en el incipiente mercado de los relojes conectados, con un producto cuyo lanzamiento está previsto para el cuarto […]
Categorías: PDA / PPC

Las tres grandes de Corea preparan una tienda de aplicaciones conjunta

Canal PDA - Mar, 24/03/2015 - 13:41
Las tres mayores operadoras de móvil de Corea del Sur convocaron el viernes a 150 desarolladores de aplicaciones móviles para explicarles la creación de una tienda de aplicaciones conjunta llamada One Store, cuya entrada en funcionamiento está prevista para el mes de mayo. Cada una de las tres compañías cuenta ya con su propia tienda: […]
Categorías: PDA / PPC
Distribuir contenido