Un grupo compuesto por investigadores de la Universidad de California y de la Universidad de Michigan ha identificado una vulnerabilidad que permite obtener información personal en dispositivos móviles Android, Windows e iOS. Por ahora el método de ataque solo se ha probado en Android, pero los investigadores señalan al resto de sistemas debido a que comparten una misma característica: Todas las aplicaciones acceden a la memoria compartida del terminal.
"Desde siempre se ha asumido que estas aplicaciones no pueden interferir fácilmente las unas con las otras", comenta Zhiyun Qian, profesor asociado de la Universidad de California. "Mostramos que este supuesto no es correcto y que realmente una app puede impactar significativamente a otra, resultando en consecuencias dañinas para el usuario".
El ataque parte de que el usuario descargue e instale una aplicación con código malicioso pero de apariencia inofensiva. Una vez instalado el software, los investigadores pueden acceder a las estadísticas de uso de la memoria compartida del aparato, la cual no exige ningún privilegio de usuario.
Esto permite monitorizar los cambios en la memoria compartida y relacionarlos con la actividad del usuario en tiempo real. Entre las acciones que los investigadores han conseguido interceptar se encuentra el registro en Gmail, con un 92% de ataques exitosos, el registro en la aplicación tributaria H&R Block, también con un 92% de éxito, compras en Newegg, con un 86%, o el cobro de cheques mediante la app de CHASE Bank, capturados el 83% de las veces.
Los investigadores explican que el éxito del ataque depende de que este pase desapercibido para el usuario y de que se produzca en el mismo instante en el que se realiza la acción. "Sabemos que el usuario está en la app de banca, y cuando está a punto de registrarse, inyectamos una pantalla de login idéntica", comenta Qi Alfred Chen de la Universidad de Michigan. "No se deben instalar aplicaciones que no sean de confianza".
"Desde siempre se ha asumido que estas aplicaciones no pueden interferir fácilmente las unas con las otras", comenta Zhiyun Qian, profesor asociado de la Universidad de California. "Mostramos que este supuesto no es correcto y que realmente una app puede impactar significativamente a otra, resultando en consecuencias dañinas para el usuario".
El ataque parte de que el usuario descargue e instale una aplicación con código malicioso pero de apariencia inofensiva. Una vez instalado el software, los investigadores pueden acceder a las estadísticas de uso de la memoria compartida del aparato, la cual no exige ningún privilegio de usuario.
Esto permite monitorizar los cambios en la memoria compartida y relacionarlos con la actividad del usuario en tiempo real. Entre las acciones que los investigadores han conseguido interceptar se encuentra el registro en Gmail, con un 92% de ataques exitosos, el registro en la aplicación tributaria H&R Block, también con un 92% de éxito, compras en Newegg, con un 86%, o el cobro de cheques mediante la app de CHASE Bank, capturados el 83% de las veces.
Los investigadores explican que el éxito del ataque depende de que este pase desapercibido para el usuario y de que se produzca en el mismo instante en el que se realiza la acción. "Sabemos que el usuario está en la app de banca, y cuando está a punto de registrarse, inyectamos una pantalla de login idéntica", comenta Qi Alfred Chen de la Universidad de Michigan. "No se deben instalar aplicaciones que no sean de confianza".
Tengo varias cuentas más de correo (gmail, gmx, hotmail, etc...) y jamás se me ocurriría vincularlas con el móvil. No me fío ni un pelo.
En pocas palabras eres tu quien instala la aplicación (de forma consciente o no)
Esta aplicación funciona por lo que entiendo a modo de phishing (no tiene nada que ver con GMAIL puesto que afecta a cualquier sitio donde tengas que escribir un usuario y contraseña).
Tal y como cito debido a la memoria compartida de android la aplicación justo antes de registrarte o ingresar tu login suplanta la pagina web y si eres un poco despistado no te das cuenta y ZAS
No es una vulnerabilidad tan grave puesto que requiere:
1) Un software de terceros (no esta en el movil por defecto es algo que tu te tienes que descargar)
2) Suponer que no tienes por defecto las contraseñas encriptadas y inicio de sesión automático activado.
En pocas palabras tu tienes que escribir la clave si tienes configurado el móvil para que inicie sesión automáticamente y las contraseñas encriptadas esto no funcionara puesto que:
2.1) Si tienes el inicio de sesión automático seria raro que de repente te pidiera ingresar manualmente tú usuario y contraseña
2.2) Si tienes el auto completar activado pero las contraseñas encriptadas por mucho que automáticamente se meta la clave esta no sera legible para el programa (el programa solo funciona si eres tu el que escribe la clave con el teclado o tiene las claves en texto plano sin encriptar)
2.3) Si mal no he entendido este software malicioso esta en segundo plano y justo cuando acceder a una web donde hay un login este programa pasa a primer plano y suplanta la web original. Lo cual implica que si tú te estas atento a la pantalla de tu móvil veras durante unos segundos algo raro.
3) Suponer (dependiendo del servicio) que no hay una segunda comprobación de seguridad o un acceso en dos pasos con el móvil.
Saludos
Bravo [plas] empezamos bien en credibilidad.
En iOS y WP las apps de la store son comprobadas por la marca, así que lo veo difícil. Otra cosa es que a Google se la pele y su store esté llena de apps que hasta roban al usuario sin que se de cuenta. De nuevo, bravo [plas]
Cuanta noticia de seguridad chorra para cagarnos con la clara idea de patentar/cobrar algo de fondo.