Cloack and Dagger, o como te pueden hackear Android sin saberlo

Investigadores de seguridad del Instituto tecnológico de Georgia han descubierto un nuevo tipo de ataque que aprovecha vulnerabilidades en la gestión de permisos de Android. Lo han bautizado como Cloack and Dagger y permite el secuestro completo de un terminal o dispositivo Android a distancia.

Todas las versiones de Android están afectadas, incluso la más reciente 7.2.1. Este ciberataque no opera directamente sobre una vulnerabilidad de Android, sino que aprovecha permisos legítimos de otras aplicaciones en uso para acceder a varias características del dispositivo. Básicamente, se abusa de los siguientes permisos:

• SYSTEM_ALERT-WINDOW: también conocido como “draw on top”, se trata de una función para superponer contenido sobre otro que ya aparezca en la pantalla del terminal.
• BIND_ACCESIBILITY_SERVICE: también conocido como a11y, este permiso es considerado de “aacesibilidad” y permite a gente con movilidad reducida enviar comandos de voz al dispositivo, así como escuchar contenido mediante el lector en pantalla.

Así lo explican los descubridores de la vulnerabilidad en su estudio:

Estos ataques permiten a una aplicación maliciosa tomar el control completo sobre el ciclo de entrada de la UI (interfaz de usuario) sin producir ningún tipo de alerta sobre dicha actividad maliciosa. Estos ataques solo requieren dos permisos que, en caso de que la app sea instalada desde la Play Store, el usuario ni siquiera tendría que conceder y por los que no sería notificado.

Cloack and Dagger afecta a cualquier Android

En un escenario de ataque real, un atacante podría desarrollar y enviar a la tienda de apps una que requiera de dichos permisos (2), para así saltarse los controles de seguridad. Al no incluir necesariamente el código malicioso en la app, no levantaría sospechas.

En particular, nosotros enviamos una app que requería dichos permisos y contenía una funcionalidad no ofuscada (es decir, visible) para descargar código arbitrario –intentando así simular un comportamiento malicioso-.

Para sorpresa de los investigadores, la aplicación fue aprobada en solo unas horas (y ha seguido disponible en Play Store, al menos, hasta ayer).

¿Cómo funciona este tipo de ataque?

Cuando el usuario instala dicha aplicación, el dueño de la misma podrá realizar diferentes actividades, ninguna buena:

• Ataque de clickjaking avanzado: ya hablé de esto en su día
• Recogida de pulsaciones de teclas
• Ataques de phishing más difíciles de detectar
• Instalación (de manera silenciosa) de una app de tipo Modo Dios con todos los permisos habilitados
• Desbloqueo del terminal de forma silenciosa y otras acciones (manteniendo la pantalla en reposo)

A continuación os dejo otro vídeo donde se puede ver la instalación de la citada aplicación GodMode para obtener todos los permisos:

¿Cómo responderá Google?

Según informan los expertos, no se trata de un problema menor sino más bien de un problema de diseño del sistema operativo Android, así que esto va a requerir un esfuerzo importante por parte de la empresa. No es como tapar un agujero sin más.

Android concede, por defecto, el permiso SYSTEM_ALERT_WINDOW (dibujar por encima) a todas las aplicaciones aprobadas en su tienda, al menos si hablamos de los dispositivos basados en Android 6.0 marshMallow.

Conclusiones

Muchos troyanos bancarios han intentado beneficiarse antes de este tipo de problema y se espera que en los próximos meses Google realice cambios importantes en su sistema. Mientras tanto, millones de usuarios podrían verse afectados por la vulnerabilidad.

Por cierto, Android 7.1.2 es el único que puede mitigar parcialmente el problema, ya que permite deshabilitar la superposición de elementos entre aplicaciones.