Un grupo compuesto por investigadores de la Universidad de California y de la Universidad de Michigan ha identificado una vulnerabilidad que permite obtener información personal en dispositivos móviles Android, Windows e iOS. Por ahora el método de ataque solo se ha probado en Android, pero los investigadores señalan al resto de sistemas debido a que comparten una misma característica: Todas las aplicaciones acceden a la memoria compartida del terminal.
"Desde siempre se ha asumido que estas aplicaciones no pueden interferir fácilmente las unas con las otras", comenta Zhiyun Qian, profesor asociado de la Universidad de California. "Mostramos que este supuesto no es correcto y que realmente una
app puede impactar significativamente a otra, resultando en consecuencias dañinas para el usuario".
El ataque parte de que el usuario descargue e instale una aplicación con código malicioso pero de apariencia inofensiva. Una vez instalado el
software, los investigadores pueden acceder a las estadísticas de uso de la memoria compartida del aparato, la cual no exige ningún privilegio de usuario.
Esto permite monitorizar los cambios en la memoria compartida y relacionarlos con la actividad del usuario en tiempo real. Entre las acciones que los investigadores han conseguido interceptar se encuentra el registro en Gmail, con un 92% de ataques exitosos, el registro en la aplicación tributaria H&R Block, también con un 92% de éxito,
compras en Newegg, con un 86%, o el cobro de cheques mediante la
app de CHASE Bank, capturados el 83% de las veces.
Los investigadores explican que el éxito del ataque depende de que este pase desapercibido para el usuario y de que se produzca en el mismo instante en el que se realiza la acción. "Sabemos que el usuario está en la
app de banca, y cuando está a punto de registrarse, inyectamos una pantalla de login idéntica", comenta Qi Alfred Chen de la Universidad de Michigan. "No se deben instalar aplicaciones que no sean de confianza".