Nuevas vulnerabilidades en dispositivos móviles

Tal y como ya hemos comentado varias veces en este blog, parece que el protagonismo de los dispositivos móviles en materia de seguridad va a incrementarse en los próximos meses. Si la semana pasada informábamos acerca de múltiples errores en el diseño del kernel del sistema Android, hoy no podemos dejar de reseñar otras incidencias acontecidas en los últimos días.

La primera de ellas trata sobre la publicación de código que, de ejecutarse en terminales con versiones de Android vulnerables (2.0, 2.1) puede hacer estos dispositivos vulnerables a ataques remotos. La versión más reciente de Android (2.2) no es vulnerable a este tipo de ataques, aunque las versiones anteriores aun son usadas en un alto porcentaje y hay terminales en los que no se permite instalar la versión 2.2 de forma oficial.

El código publicado se aprovecha de una vulnerabilidad ya existente en uno de los componentes (WebKit) de varios navegadores de Internet. El navegador que incluye el sistema operativo Android también es vulnerable y se puede generar un exploit que se active cuando el usuario visite una web maliciosa diseñada para aprovecharse de esta vulnerabilidad.

La otra vulnerabilidad que ha afectado al sistema Android recientemente es ocasionada por fallos que, de ser aprovechados pueden llegar a instalar aplicaciones maliciosas en el dispositivo sin consentimiento del usuario. Estos agujeros de seguridad se encuentran en el navegador y no en el kernel del sistema, lo que las hace diferentes a las descubiertas hasta el momento.

Como prueba de concepto, el investigador Jon Oberheide generó una aplicación falsa simulando ser una ampliación de niveles del popular juego «Angry birds» y la publicó en el Android Market. Esta aplicación, una vez instalada, descargaba e instalaba a su vez otras tres aplicaciones sin consentimiento del usuario. Google ya ha eliminado esta aplicación del Android Market y, aunque esta prueba de concepto resulta inofensiva, demuestra lo que un usuario malintencionado puede llegar a hacer.

Pero no solo Android es víctima de las vulnerabilidades. iOS, el sistema operativo de Apple presente en iPhone, iPod Touch e iPad también ha visto como los investigadores han descubierto un fallo en el manejo de esquemas de direcciones por parte del navegador Safari. Este manejo incorrecto permite la realización de llamadas telefónicas mostrando un simple aviso si se visita un enlace especialmente preparado. La situación es más grave si en nuestro iPhone tenemos instalado el popular sistema de voz sobre IP Skype puesto que, de ser así, la llamada se iniciará sin mostrar ninguna ventana de confirmación (siempre que el usuario haya permitido a esta aplicación guardar sus credenciales de acceso, como sucede la mayoría de las veces). A pesar de ser Skype el ejemplo más claro, existen otras aplicaciones que también pueden sufrir este fallo.

Viendo como está el panorama en la seguridad de dispositivos móviles, desde el laboratorio de ESET en Ontinet.com recomendamos a nuestros lectores que tengan cuidado a la hora de instalar aplicaciones dudosas o acceder a enlaces sospechosos desde nuestro móvil. Siempre es mejor perder un poco de tiempo buscando referencias sobre esa aplicación o enlace antes que sufrir el robo de los datos almacenados en nuestro móvil.

Josep Albors

Llamadas desde el falso soporte técnico