Google parchea un bug que permite instalar malware en teléfonos Android vía NFC

Alejo I
9 4 11
Noticias » Tecnología
Un fallo en el servicio Android Beam, utilizado para gestionar el intercambio de imágenes, vídeos y otros tipos de archivo usando una conexión NFC, dejaba abiertas las puertas a la introducción de malware en dispositivos con Android 8 y versiones posteriores.

El agujero fue parcheado el pasado mes de octubre, pero los problemas iniciales fueron detectados en enero por un investigador que llamó la atención sobre el hecho de que Android Beam para Android 8 y versiones posteriores no mostraba una ventana mostrando si quería instalar una aplicación desde fuentes desconocidas vía NFC.

El origen del fallo tiene que ver con el cambio en la gestión de permisos de instalación de archivos APK procedentes de fuentes desconocidas para el sistema. Este parámetro pasó a ser individual en lugar de global a partir de Oreo (Android 8). Por algún motivo, Android Beam, que según ZDNet "nunca fue diseñado como un método para instalar aplicaciones, sino simplemente para transferir datos de dispositivo a dispositivo", aparecía en la lista de aplicaciones en la lista blanca. Esto quiere decir que las aplicaciones enviadas a través del servicio no solicitaban permisos adicionales ni mostraban ventanas de alerta.

Según la descripción del bug, la instalación mediante NFC se realizaba con tan solo pulsar la notificación emergente; un aviso que mucha gente puede confundir con un mensaje de actualización o que simplemente puede tocar por pura inercia.

Por ahora no hay constancia de que este bug haya sido explotado con fines maliciosos. Sea como fuere, los usuarios de un teléfono con Android 8 o posterior deberían tener instalada la última versión del servicio para evitar riesgos innecesarios. Como medida de protección adicional (y muy recomendable en cualquier caso), las personas que no utilicen una conexión NFC para realizar pagos sin contacto o asociar rápidamente dispositivos inalámbricos pueden desconectarla manualmente desde las opciones de Android.
11 comentarios
  1. Problema detectado en enero
    Problema parcheado en octubre.

    Cuando es Google la que encuentra fallos de seguridad en sistemas ajenos a ellos, pues dan 2 o 3 semanas de margen para parchear y sino publican el fallo en internet.

    Don't be evil


    Dice la noticia que "no hay constancia de que este bug haya sido explotado con fines maliciosos". This, "no hay constancia". Aunque seria ridiculo pensar que la primera persona que lo descubrio fuese altruista y buena persona y en lugar de venderlo o explotarlo, aviso a google para que lo parchease.
  2. Los problemas del NFC para aprovechar un bug de este tipo sin tanto la distancia a la que es aprovechable, como la tasa de transferencia para inyectar una aplicación.
  3. está claro que el nfc (igual que el wifi o el bluetooth) se presta a buscarle vulnerabilidades, siempre es muy atractivo el acceso inalámbrico claro está, pero hay que corregir el error más rápido!!!
  4. Lo primero que hice tras tener que abandonar mi viejo pero fiable iPhone SE por rotura, fue buscar un gama alta de hace varios años con batería extraible y cambiarla por otra sin NFC. No sé los demás, pero me sigue gustando más el pago en metálico y siempre he desconfiado esta tecnología y del contactless que nos incorporan a la fuerza en las tarjetas de crédito y débito (para las cuales llevo un apartado en la cartera que inhibe su uso).

    Entiendo que todo esto es el futuro y que tarde o temprano habrá que usarlo, pero vistos los fallos que aún se presentan (éste del NFC en teléfonos Android o el cobro automático de 20€ en 20€ utilizando datáfono), prefiero seguir esperando a que esta tecnología sea lo bastante segura como para no tener que preocuparme por cosas así.
  5. maximopeligro escribió:Los problemas del NFC para aprovechar un bug de este tipo sin tanto la distancia a la que es aprovechable, como la tasa de transferencia para inyectar una aplicación.

    Es la clave.

    Aunque imagino que un malware que no necesita sortear permisos ni va "pegado" a una aplicación falsa no puede ocupar gran cosa. Posiblemente con unos pocos KB ya puedes liarla. El resto del payload, mediante descarga.
  6. czfuser escribió:Lo primero que hice tras tener que abandonar mi viejo pero fiable iPhone SE por rotura, fue buscar un gama alta de hace varios años con batería extraible y cambiarla por otra sin NFC. No sé los demás, pero me sigue gustando más el pago en metálico y siempre he desconfiado esta tecnología y del contactless que nos incorporan a la fuerza en las tarjetas de crédito y débito (para las cuales llevo un apartado en la cartera que inhibe su uso).

    Entiendo que todo esto es el futuro y que tarde o temprano habrá que usarlo, pero vistos los fallos que aún se presentan (éste del NFC en teléfonos Android o el cobro automático de 20€ en 20€ utilizando datáfono), prefiero seguir esperando a que esta tecnología sea lo bastante segura como para no tener que preocuparme por cosas así.


    La nueva normativa europea PSD2, que aún queda para que se aplique a todos los comercios aunque desde septiembre sea obligatorio, viene a limitar este tipo de fraude.
    Esta normativa limita el nº de pagos seguidos sin autenticarte (introducir PIN, firma...) usando pago contactless que suele ser inferior a 20€, es decir, cuando hagas un nº determinado de pagos seguidos sin autenticarte (usuario) o se supere el límite de importe máximo (unos 100-150€), tendrás que o volver a meter tu PIN en la App móvil o en el Pinpad aunque uses contactless.
    En caso de que no la tenga el comercio implementada, se le deniega al comercio la venta desde el banco, y tendrás que pasar la tarjeta por el chip o banda, es decir, no contactless o TAP (móvil), metiendo PIN o firmando manual o digitalmente.

    Muchas webs de bancos o sus apps, han adoptado esta filosofía de tener que volver a meter su contraseña o credenciales cada poco tiempo, semanas o meses, 'refrescando' este login, para evitar que alguien que te "robe" PC o te corte el dedo (datos biométricos) pueda acceder por siempre. Normalmente para cambiar la contraseña, si han entrado en tu sesión, se te pide la antigua, tarjeta de datos, etc... que sólo deberías conocer o tener tú, por lo que no podrían robarte para siempre, pero alguna laguna siempre habrá.
  7. Alejo I escribió:
    maximopeligro escribió:Los problemas del NFC para aprovechar un bug de este tipo sin tanto la distancia a la que es aprovechable, como la tasa de transferencia para inyectar una aplicación.

    Es la clave.

    Aunque imagino que un malware que no necesita sortear permisos ni va "pegado" a una aplicación falsa no puede ocupar gran cosa. Posiblemente con unos pocos KB ya puedes liarla. El resto del payload, mediante descarga.


    El bug sólo habla de instalar sin confirmación del usuario, así que sin otra vulnerabilidad que permita adquirir permisos de root o similar tampoco puede hacer mucho en esas versiones de Android.
  8. maximopeligro escribió:
    Alejo I escribió:
    maximopeligro escribió:Los problemas del NFC para aprovechar un bug de este tipo sin tanto la distancia a la que es aprovechable, como la tasa de transferencia para inyectar una aplicación.

    Es la clave.

    Aunque imagino que un malware que no necesita sortear permisos ni va "pegado" a una aplicación falsa no puede ocupar gran cosa. Posiblemente con unos pocos KB ya puedes liarla. El resto del payload, mediante descarga.


    El bug sólo habla de instalar sin confirmación del usuario, así que sin otra vulnerabilidad que permita adquirir permisos de root o similar tampoco puede hacer mucho en esas versiones de Android.


    Sera por vulnerabilidades en android [+risas] que es como un queso emmental
    Tienes un 0-day de este mes precisamente que afecta a la inmensa mayoria de androids del mercado... samsung s9 para atras, todos los lg, moto, oppo, casi todos los xiaomi, huawei, pixels... y resumiendo, cualquier android que lleve un kernel de antes de abril del 18, que salvo los ultimos moviles que han salido al mercado, son todos.
  9. hasta que ese sistema no sea obligatorio passo.
  10. Madre mia los terminales Android
Ver más comentarios »