Vulnerabilidad de la clave maestra de Android de Comodo Mobile Masters

Tiempo de leer: 3 minutos

Actualización: consulte la última versión de la aplicación de seguridad móvil gratuita de Comodo

¿Alguna vez has oído hablar del viejo truco de cartas, el Double Lift? Incluso un mago novato debería dominar este truco esencial de cartas. Pero para aquellos de ustedes no lo saben; el Double Lift consiste en presentar dos cartas de manera que el público solo vea una carta, la segunda carta, mientras mantiene la carta más alta detrás de ella. Hay muchas variaciones de cómo hacer este truco, pero todos logran el mismo objetivo: engañar al público para que crea que está mirando la carta más alta cuando en realidad está viendo la segunda carta.

Tal vez se pregunte cómo se relaciona un truco de cartas con la seguridad de su dispositivo móvil. Bluebox Labs descubrió recientemente la vulnerabilidad de clave maestra de Android, una amenaza de seguridad que utiliza el mismo método de Double Lift para afectar a millones de dispositivos móviles en todo el mundo.

En los términos más simples, si coloca dos archivos con el mismo nombre en un paquete de instalación de Android (.APK), Android verificará la firma digital del primer archivo PERO se instalará utilizando el segundo archivo. En este ataque, el primer archivo es una aplicación legítima pero el segundo archivo es malware. Los paquetes de aplicaciones de Android son básicamente archivos zip. El sistema operativo verifica la firma digital de cada archivo antes de instalarlo. De esta manera, se asegura de que la aplicación sea legítima y no manipulada. La verificación y la instalación son manejadas por diferentes bibliotecas. La primera biblioteca, implementada en Java, crea un mapa hash mientras que la segunda biblioteca, escrita en C, verifica cada entrada en el mapa hash. Esto hace que el proceso sea vulnerable a los paquetes de aplicaciones especialmente diseñados que llevan múltiples archivos con el mismo nombre. Por lo tanto, los autores de malware pueden obtener un archivo APK legítimo, así como una aplicación del sistema e inyectar su archivo malicioso en este paquete. El resultado: un usuario, sin saberlo, instalará un archivo malicioso en su dispositivo en lugar del archivo original.

Veamos un ejemplo de una aplicación que usa esta vulnerabilidad. A continuación puede ver un archivo APK que contiene varios archivos con el mismo nombre. También hay otro directorio llamado META-INF que contiene un archivo especial llamado MANIFEST.MF. Este es el archivo que contiene las firmas digitales de cada archivo en el paquete de la aplicación.

Escaneo de vulnerabilidad

Como el archivo MANIFEST.MF contiene la firma digital del primer archivo, no habrá problemas para verificar la firma de esta aplicación. Sin embargo, cuando se trata de la instalación, ¿adivina qué archivo se instalará en el dispositivo móvil? Así es, el segundo (malicioso)! Como se ilustra, esta vulnerabilidad permite a los autores de malware obtener fácilmente un archivo APK, inyectar su código malicioso y distribuirlo como una aplicación legítima sin que nadie lo note. Esta técnica, cada vez más utilizada por los autores de malware, es válida para las aplicaciones del sistema que se distribuyen dentro de su dispositivo móvil.

CMS ha encontrado el siguiente malware en su dispositivo

¿Qué puedes hacer?

Comodo le aconseja instalar y escanear su dispositivo móvil con Comodo Seguridad móvil. La última actualización, CMS2.3 incluye un detector de vulnerabilidad de clave maestra de Android junto con antivirus android que detecta y elimina con éxito archivos maliciosos, explotando esta vulnerabilidad.

Ya sea un viejo truco de cartas o tu teléfono Android, no caigas en el Double Lift.

Esta publicación fue creada por Emre Tinaztepe, líder del equipo de análisis de malware de Comodo Turquía.