Se podría secuestrar un móvil Android simplemente sustituyendo la pantalla

En el mercado móvil existen dos tipos de peligros a tener en cuenta. El primero comprende una posible infección durante su uso, al instalar alguna aplicación o contar con alguna vulnerabilidad. El segundo, más grave por difícil de detectar, es el peligro de que el malware llegue desde la propia fábrica o cadena de ensamblado del terminal, así como su línea de distribución.

Estas cosas pasan y, para ilustrar con un par de ejemplos, citaré el caso de 26 terminales chinos que venían con malware pre-instalado y el más reciente caso de varios modelos que traían consigo el peligroso troyano Triada. No hay por qué pensar mal de las marcas productoras (no les viene nada bien para el negocio que se sepa) sino más bien hay que pensar que en algún punto de la cadena de distribución algunos lotes fueron modificados.

Peligro en la sustitución de componentes

Según un equipo de investigadores de la Universidad Ben Gurion (Israrel), esta nueva técnica puede ofrecer a un atacante la posibilidad de obtener el control total sobre el dispositivo de manera silenciosa.

Las pantallas táctiles de los teléfonos, al igual que otros componentes de hardware como los sensores de orientación, los cargadores sin cables o lectores NFC, son habitualmente producidos por terceros fabricantes (no por el propio fabricante del teléfono). El código fuente que da soporte a estos drivers está integrado dentro del software del fabricante. En contraste con los drivers «enchufables», como los de un USB o un dispositivo de red, el código fuente de drivers de un componente asume de forma intrínseca que dicho dispositivo es confiable.

Como resultado de dicha relación de «confianza», se establecen muy pocos controles de seguridad para supervisar las comunicaciones entre el componente y el resto del sistema.

Para realizar pruebas que refutasen su teoría, los expertos han probado dos dispositivos Android diferentes a los que se les ha sustituído algún componente: un Huawei Nexus 6P con una pantalla de Synaptics y una tablet LG G Pad 7.0 con un controlador Atmel.

Así es posible secuestrar un terminal Android

Se ha separado el controlador de la pantalla táctil del resto de componentes para acceder a los contactos de cobre, usando un pequeño secador. Después, se han conectado los «pines» a un chip integrado, usando este para lanzar un ataque MitM (Man in the Middle) que manipule entonces el bus de comunicaciones.

Mediante una serie de ataques de inyección de toques nos hacemos pasar por el usuario y filtramos datos o bien se lanza un ataque buffer overflow que permita elevar privilegios al atacante.

Si se combinan ambos tipos de ataques, se puede comprometer de forma casi total un terminal Android con firmware corriente. Los expertos se han valido de un micro-controlador Arduino y un chip STM32L42 (coste combinado de 20 €) para realizar los experimentos.

Las pruebas se han realizado en componentes con interfaz de hardware limitada, asumiendo que el técnico que realiza el cambio de pieza no estaría relacionado y basándose simplemente en el peligro que entraña un componente alterado. De esta forma el experimento es más realista.

Las pruebas

En la prueba de concepto nº1, se muestra como es posible utilizar una pantalla reemplazada -que ha sido manipulada- para instalar software de forma arbitraria y asumir el control completo del terminal. El atacante puede tomar capturas con la cámara y mandarlas por email, reemplazar una URL legítima por una infectada, filtrar patrones de desbloqueo, etc.

 

Los investigadores fueron capaces de secuestrar un termianl en unos 60 segundos, aunque otras acciones como el reemplazo de URLs surten efecto inmediato.

Ya en el mes de Febrero, los expertos notificaron a Google estas vulnerabilidades en el driver de Synaptic. Estos fueron corregidos en Junio de 2017 mediante actualizaciones de seguridad de Android. También se ha notificado a los desarrolladores de Armel de la otra vulnerabilidad.

Son buenas noticias, por supuesto, pero siempre nos queda pensar ¿qué más peligros latentes existen aún y no han sido todavía notificados? Los descubridores de las vulnerabilidades proponen algo interesante y es un pequeño dispositivo de hardware que, asociado a la placa base del dispositivo, actúe como proxy / sandbox para controlar las comunicaciones del terminal (punto 8.2).