Múltiples vulnerabilidades críticas en dispositivos móviles

Hay un dicho popular español que dice: “¿No querías caldo? ¡Pues toma dos tazas!”. En el laboratorio de ESET España, donde somos muy fans del cocido (o puchero, como lo llamamos por aquí), lo usamos a menudo para referirnos a la acumulación de noticias de seguridad de un tema en concreto. Esta semana ha sido muy prolífica en cuanto a este tipo de noticias pero, sobre todo, en lo referente a la seguridad en dispositivos móviles con sistemas Android e iOS.

Por una parte tenemos una vulnerabilidad grave que afecta al navegador de iOS 5 en iPhones 4S y anteriores (que también afectaría a iPads/iPod Touch) y que, según desvelaron los investigadores Joost Pol y Daan Keuper en la competición Mobile Pwn2Own celebrada recientemente dentro de la EuSecWest Conference de Ámsterdam, permitiría la ejecución de código.

Esta pareja, que realizó toda su investigación en apenas tres semanas y durante su tiempo libre, consiguió evitar todas las restricciones de código firmado que Apple impone eludiendo, a su vez, la seguridad del navegador Safari, por lo que pudieron preparar una web maliciosa para aprovechar este exploit. Una vez ejecutado el exploit, un atacante podría conseguir los datos privados del móvil, incluyendo su agenda, historial de navegación, fotografías o vídeos, entre otros.

Esta vulnerabilidad se dio a conocer casi coincidiendo con la puesta a la venta del iPhone 5 (el teléfono que, según algunos cachondos con mala baba, solo sirve para ver al Real Madrid en la clasificación de la liga de fútbol española sin tener que desplazar la pantalla hacia abajo) con su correspondiente versión 6 de iOS, versión que corrige 197 vulnerabilidades. A pesar de estos parches incluidos en esta nueva versión, esta pareja de investigadores han especulado que la vulnerabilidad presentada podría llegar a funcionar también en iOS 6, entre otras cosas porque la versión para desarrolladores también es vulnerable.

En la misma conferencia de seguridad también se hicieron públicas dos vulnerabilidades que permitían la ejecución de código y escalar privilegios en un dispositivo que usase el sistema Android, usando para las demostraciones un Samsung Galaxy S3 con Android 4.0.4, del que obtuvieron un control completo.

Para conseguir cargar un fichero malicioso necesario para la ejecución de código, el equipo de investigadores de MRW Labs usó la tecnología NFC (tecnología de comunicación en proximidad). No obstante, también sería posible alojar este fichero en una web y enviar un enlace en un mensaje SMS, adjunto en un correo electrónico, etc.

A pesar de la gravedad de esta vulnerabilidad lo mejor estaba aún por llegar, y es que en Ekoparty, la conferencia de seguridad más importante de América Latina y que cuenta con el apoyo y patrocinio de nuestros compañeros de ESET Latinoamérica, el investigador Ravi Borgaonkar mostró un método para inutilizar teléfonos móviles de algunos fabricantes que usen Android. En la demostración que podemos observar en el vídeo que ofrecemos a continuación, Ravi mostró a todos los asistentes cómo conseguía resetear un Samsung Galaxy S3 con tan solo visitar una web especialmente modificada y, a la vez, bloquear la tarjeta SIM, dejando el móvil inservible.

Esto permitiría a un atacante preparar una web maliciosa y enviar el enlace mediante correo electrónico, SMS o vincularlo a un código QR, haciendo que los posibles afectados se cuenten por millones. Lo mejor de todo es que para inutilizar el móvil se usó una llamada a un código especial que no es para nada secreto. Es más, cualquiera que investigue un poco y busque códigos utilizados para acceder a funciones especiales no tardará mucho en encontrarlo.

De momento se han publicado varios enlaces desde donde comprobar si nuestro móvil es vulnerable. En este mismo se puede revisar si nuestro teléfono es vulnerable. Si aparece el teclado para marcar y un número significa que no estamos afectados. No obstante, si aparece el teclado numérico e inmediatamente muestra en pantalla una ventana con nuestro IMEI significará que nuestro teléfono es vulnerable.

De momento solo Samsung ha anunciado la publicación de un parche que solucione esta vulnerabilidad en el modelo Galaxy S3, aunque otros modelos de la empresa como el Galaxy S2, Galaxy Ace y Galaxy Advance también han se ven afectados por esta grave vulnerabilidad. Teléfonos de otros fábricantes como HTC o Motorola son también vulnerables.

Nuestros compañeros de Security By Default han elaborado un completo resumen con información detallada acerca de esta vulnerabilidad, englobado dentro del resumen que han hecho de esta edición de la Ekoparty.

Como hemos podido observar, tenemos vulnerabilidades de todo tipo, para todos los gustos y que afectan a los sistemas operativos móviles más usados del momento. Los próximos meses prometen ser interesantes para los investigadores de seguridad que se dediquen a buscarles las cosquillas a los dispositivos móviles. Tan solo esperamos que estas noticias no se produzcan tan seguidas como en esta ocasión o tendremos que pensar en llevarnos hamacas para dormir en nuestro laboratorio 🙂

Josep Albors

@JosepAlbors

Nuevo fallo de programación en Facebook que podría atentar contra la privacidad y algo más…