Investigadores de FireEye han descubierto una nueva vulnerabilidad en Android que podría permitir a una aplicación maliciosa con permisos normales modificar los iconos de la pantalla principal de Android y modificarlos para que apunten a sitios web de phishing o a la propia aplicación maliciosa sin notificarlo al usuario. Google ha reconocido el problema y ha liberado un parche a sus socios OEM, aunque posiblemente tarde en llegar a los usuarios.
Android Open Source Project (AOSP) clasifica los permisos en Android en varios niveles: «normal», «dangerous», «system», «signature» y » development». Los permisos normales se conceden automáticamente en la instalación, sin pedir aprobación explícita del usuario (aunque el usuario siempre puede revisar los permisos antes de instalar).
En la última versión de Android 4.4.2 si una aplicación solicita tanto permisos peligrosos como permisos normales, el sistema solo muestra los permisos peligrosos. Si una aplicación solo solicita permisos normales, Android no los muestra al usuario. Sin embargo, FireEye ha descubierto que determinados permisos de la categoría «normal» pueden tener impactos peligrosos en la seguridad. Mediante el uso de estos permisos una aplicación maliciosa puede modificar los icosos de la página principal de forma que lanzen aplicaciones o sitios web de phishing.
La aplicación maliciosa abusa del conjunto de permisos:
«com.android.launcher.permission.READ_SETTINGS» y
«com.android.launcher.permission.WRITE_SETTINGS».
Estos dos permisos permiten a una aplicación consultar, insertar, eliminar o modificar todos los ajustes de la configuración del «Launcher» (lanzador), incluyendo la modificación e inserción de iconos. Estos dos permisos están etiquetados como «normal» desde la primera versión de Android.
Como prueba de concepto desarrollaron una aplicación que hacía uso de estos dos permisos para modificar iconos legítimos de algunas aplicaciones sensibles para redirigirlas a otros sitios web. Con lo que confirmaron el problema en un Nexus 7 con Android 4.4.2. Google Play no evitó que la aplicación fuera publicada y no se mostró ningún aviso al usuario al descargarla e instalarla. Tras las pruebas, eliminaron tanto las webs empleadas como la aplicación de Google Play. Por lo que nadie ha podido verse afectado.
FireEye también confirma que la vulnerabilidad no está limitada a dispositivos Android que ejecuten AOSP. También se ven afectados otros dispositivos con Launchers no-AOSP incluyendo Nexus 7 con CyanogenMod 4.4.2, Samsung Galaxy S4 con Android 4.3 y HTC One con Android 4.4.2.
Google ha reconocido la vulnerabilidad y ha distribuido un parche a sus sociosOEM. Sin embargo, tal y como ya avisan en FireEye muchos fabricantes que hacen uso de Android son lentos a la hora de adaptar las actualizaciones de seguridad. Al igual que FireEye, nos unimos a la petición de que estos fabricantes solucionen las vulnerabilidades de forma más eficiente para proteger a los usuarios.