“Dirty Stream”pone en riesgo miles de millones de instalaciones de Android

Iniciado por AXCESS, Mayo 04, 2024, 07:29:11 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 04, 2024, 07:29:11 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Microsoft advierte a los usuarios de Android sobre una nueva técnica de ataque, llamada "Dirty Stream" (Flujo Sucio), que puede permitir a los actores de amenazas tomar el control de aplicaciones y robar datos confidenciales.

El gigante de TI describe Dirty Stream como un patrón de ataque, vinculado al recorrido de ruta, que afecta a varias aplicaciones populares de Android. La técnica permite que una aplicación maliciosa sobrescriba archivos en el directorio de inicio de la aplicación vulnerable, lo que podría provocar la ejecución de código arbitrario y el robo de tokens.

Un atacante puede activar la falla para otorgar control total sobre la aplicación y acceso a cuentas de usuario y datos confidenciales.

Los investigadores identificaron múltiples aplicaciones vulnerables en la tienda oficial Google Play Store que cuenta con más de cuatro mil millones de dispositivos.

"Identificamos este patrón de vulnerabilidad en las versiones vigentes en ese momento de varias aplicaciones de Android publicadas en Google Play Store, incluidas al menos cuatro con más de 500 millones de instalaciones cada una. En cada caso, informamos responsablemente al proveedor. Dos ejemplos de aplicaciones vulnerables que identificamos son el Administrador de Archivos de Xiaomi Inc. (más de 1.000 millones de instalaciones) y WPS Office (más de 500 millones de instalaciones)". continúa el aviso.

Microsoft notificó a los desarrolladores sobre las aplicaciones afectadas a través de Divulgación coordinada de vulnerabilidades (CVD) a través de Microsoft Security Vulnerability Research (MSVR).

La compañía trabajó con los equipos de seguridad de Xiaomi, Inc. y WPS Office para solucionar el problema. Se implementaron correcciones para las aplicaciones afectadas a partir de febrero de 2024 y se insta a los usuarios a actualizar sus dispositivos y aplicaciones instaladas.

El problema reside en el componente proveedor de contenido y su clase 'FileProvider' del sistema de intercambio de archivos y datos de Android.

"FileProvider, una subclase de ContentProvider, tiene como objetivo proporcionar un método seguro para que una aplicación ("aplicación de servidor") comparta archivos con otra aplicación ("aplicación cliente")". informó Google. "Sin embargo, si la aplicación cliente no maneja adecuadamente el nombre de archivo proporcionado por la aplicación servidor, una aplicación de servidor controlada por un atacante puede implementar su propio FileProvider malicioso para sobrescribir archivos en el almacenamiento específico de la aplicación cliente".

El componente facilita el intercambio de archivos entre aplicaciones instaladas; sin embargo, la implementación incorrecta de este mecanismo puede generar vulnerabilidades importantes.

"Las implicaciones de este patrón de vulnerabilidad incluyen la ejecución de código arbitrario y el robo de tokens, según la implementación de una aplicación. La ejecución de código arbitrario puede proporcionar a un actor de amenazas control total sobre el comportamiento de una aplicación. Mientras tanto, el robo de tokens puede proporcionar a un actor de amenazas acceso a las cuentas y a los datos confidenciales del usuario". Se lee en el aviso publicado por Microsoft.

El problema surge cuando la aplicación receptora no verifica el contenido del archivo que recibe y se basa en el nombre de archivo proporcionado por la aplicación emisora. La aplicación receptora almacena en caché el archivo dentro de su directorio de datos interno, lo que abre la puerta a una posible explotación si la aplicación emisora utiliza una versión maliciosa de FileProvider. En este escenario, una aplicación maliciosa puede aprovechar Dirty Stream para sobrescribir archivos importantes dentro de la aplicación receptora.

"Para evitar estos problemas, al manejar flujos de archivos enviados por otras aplicaciones, la solución más segura es ignorar por completo el nombre devuelto por el proveedor de archivos remoto al almacenar en caché el contenido recibido. Algunos de los enfoques más sólidos que encontramos utilizan nombres generados aleatoriamente, por lo que incluso en el caso de que el contenido de una transmisión entrante esté mal formado, no alterará la aplicación". concluye Microsoft.

Fuente:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario