Una vulnerabilidad de ejecución de código grave en Android 4.3 y versiones anteriores fue parcheado en KitKat, la última versión del sistema operativo.

Los investigadores de IBM esta semana a conocer la naturaleza de la vulnerabilidad, que se dio a conocer en privado con el equipo de seguridad de Android en septiembre y parcheado en noviembre pasado.

“Teniendo en cuenta la naturaleza fragmentada de Android y el hecho de que se trataba de una vulnerabilidad de ejecución de código, decidimos esperar un poco con la divulgación pública”, dijo Roee Hay, un líder del grupo de investigación en seguridad de IBM.

El equipo de heno encontró una vulnerabilidad de desbordamiento de búfer basado en pila en el servicio de almacén de claves de Android , que según el sitio web de los desarrolladores de Android ‘se encarga de almacenar y proteger las claves de cifrado de un dispositivo.

IBM dijo que no tiene conocimiento de explotaciones en el objetivo de esta vulnerabilidad. Una explotación exitosa podría comprometer un dispositivo completamente, lo que permite a un atacante ejecutar código de su elección en el marco del proceso de almacén de claves, dijo IBM.

Como resultado, un atacante podría obtener acceso a las credenciales de un dispositivo de bloqueo, llaves maestras cifrados y descifrados, y ser capaz de interactuar con el hardware de almacenamiento con respaldo y realizar funciones criptográficas, como la firma de datos arbitraria, dijo IBM.

Un atacante podría utilizar una aplicación maliciosa para atacar el problema de seguridad, pero hay una serie de retos que superar, dijo IBM.

Por ejemplo, una aplicación maliciosa debe ser capaz de saltarse las protecciones basados ​​en memoria nativas del sistema operativo como Data Execution Prevention (DEP) y el espacio de direcciones aleatoria del diseño (ASLR). DEP es una mitigación explotar que limita donde se puede ejecutar código. Los atacantes han tenido éxito en el uso de Programación Orientada a Return (ROP) ataques con el fin de eludir DEP.

ASLR, por su parte, reduce específicamente los ataques de desbordamiento de búfer que aprovechan las vulnerabilidades como ésta en Android. ASLR aleatoriza áreas de datos lo que hace difícil para el código malicioso de un atacante para adivinar donde un área abierta podría estar disponible y ejecutar.

Un canario pila también está presente en Android, lo que ayuda a detectar errores de desbordamiento del búfer de pila como este antes del código malicioso puede ejecutar.

Android también hace uso de la codificación, que también podría poner un obstáculo a la ejecución de código.

“Sin embargo, el almacén de claves Android se respawned cada vez que termina,” Hay advierte. “Este comportamiento permite un enfoque probabilístico; por otra parte, el atacante puede abusar ni siquiera teóricamente ASLR para derrotar a la codificación “.

IBM dijo que la vulnerabilidad se debe a que la comprobación de límites está ausente por un búfer de pila creada por el almacén de claves :: método getKeyForName.

“Esta función tiene varias personas que llaman, que son accesibles por aplicaciones externas mediante la interfaz de la carpeta (por ejemplo, ‘android :: KeyStoreProxy :: get’). Por lo tanto, la variable ‘keyName’ puede ser controlable con un tamaño arbitrario por una aplicación maliciosa “, dijo Hay. “La rutina de ‘encode_key’ que es llamado por ‘encode_key_for_uid’ puede desbordar el búfer ‘nombre de archivo’, ya que la comprobación de límites está ausente.”

De acuerdo con el sitio de desarrolladores de Android, adopción KitKat se acerca a 14 por ciento, poniendo la gran mayoría de los usuarios de Android en riesgo; El 29 por ciento de los usuarios son de Jelly Bean 4.1, el más alto de distribución de versiones.

Mientras que Google y el equipo de seguridad de Android son generalmente rápido en la fabricación de parches y avisos disponibles, la mayoría de los usuarios de Android móviles, por ejemplo, tienen que esperar hasta que su compañía o fabricante de teléfonos móviles empuja hacia abajo el parche. Este modelo de negocio ha provocado la ira de los expertos de seguridad y privacidad , y la atención de la Comisión Federal de Comercio de EE.UU., que ha tomado medidas en el pasado en contra de HTC fabricante de hardware , así como los cuatro grandes compañías por su falta de actualizaciones rápidas .

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

android1 Comment