Resumen de la vulnerabilidad

Se acaba de publicar una vulnerabilidad que afecta a todos los sistemas android, que permitiría a una aplicación maliciosa tomar el control del dispositivo, capturar datos y contraseñas. Esta vulnerabilidad es difícil de detectar ya que no requiere de autorización o permisos por parte del usuario del dispositivo, por lo que podríamos ser infectados sin advertirlo por una aplicación.

Origen

Esta vulnerabilidad explota una serie de permisos especiales de las aplicaciones android que no requieren de aprobación por parte del usuario. Esto es, a diferencia de las aplicaciones que solicitan permisos para utilizar tu carrete de fotos, cámara o agenda, las aplicaciones que explotan esta vulnerabilidad no requieren autorización y pueden tomar control del dispositivo (Móvil, tablet, micropc, etc) sin que nos demos cuenta

Dispositivos vulnerables

Todas las versiones de android actuales son vulnerables.

Como protegerse

  • Comprobar que aplicaciones tienen concedidos permisos para la funcionalidad a11y:
    Acceder a “Ajustes -> Accesibilidad -> Servicios: Comprobar que aplicaciones requieren a11y”
    Este listado nos muestra que aplicaciones requieren esta función. Las aplicaciones más serias, como facebook, dropbox, que provienen de empresas consolidadas, no son sospechosas. Si lo pueden ser aplicaciones pequeñas o de desarrolladores poco conocidos, de los que no podemos fiarnos ante esta vulnerabilidad. Recomendamos restringir este permiso a las aplicaciones de mayor reputación, y denegarlo o eliminar las app sospechosas.
  • Comprobar que aplicaciones utilizan la función “aplicaciones que se pueden mostrar arriba”:
    • Android 7.1.2: Ajustes -> Aplicaciones -> menu esquina derecha superior -> Acceso especial -> “aplicaciones que se pueden mostrar arriba” .
    • Android 6.0.1: Ajustes -> Aplicaciones -> menu esquina derecha superior ->  “aplicaciones que se pueden mostrar arriba” .
    • Android 5.1.1: Ajustes -> Aplicaciones -> Click en cada app para comprobar el permiso “aplicaciones que se pueden mostrar arriba”.Este listado nos muestra que aplicaciones requieren esta función. Las aplicaciones más serias, como facebook, dropbox, que provienen de empresas consolidadas, no son sospechosas. Si lo pueden ser aplicaciones pequeñas o de desarrolladores poco conocidos, de los que no podemos fiarnos ante esta vulnerabilidad. Recomendamos restringir este permiso a las aplicaciones de mayor reputación, y denegarlo o eliminar las app sospechosas.

Con estas medidas podremos restringir el posible uso de esta vulnerabilidad hasta que se solucione mediante parche de seguridad. En estos momentos se desconoce cuando se publicará un parche desde Google para proteger los sistemas de este fallo de seguridad. Mientras tanto, recomendamos controlar estos permisos cuando instalemos una app nueva cuyo origen no sea de confianza plena. Desde Rubycon Information Technologies estaremos al tanto y actualizaremos la información al respecto según se presenten novedades.

Enter your keyword