Un grupo de investigadores ha detectado recientemente una nueva y peligrosa vulnerabilidad que afecta a Android y que puede llegar a permitir obtener el control completo del dispositivo sin permiso del usuario. Esta nueva vulnerabilidad se encuentra dentro del módulo InMobi, un SDK utilizado por más de 2000 aplicaciones de la Play Store que permiten insertar contenido publicitario en las aplicaciones, una alternativa a AdSense de Google.
InMobi es un SDK legal y legítimo para Android que se utiliza para incrustar contenido publicitario en las aplicaciones, aunque los usuarios que lo utilizan han tenido que añadir en los permisos de las aplicaciones el acceso a bastantes datos personales de los usuarios que, con esta vulnerabilidad, pueden ser explotados.
Un usuario que utilice una aplicación con el SDK de InMobi puede ser víctima de un ataque que permita al pirata informático tomar el control completo del dispositivo, por ejemplo, para robar los datos de este, enviar mensajes SMS Premium, publicar contenido en las redes sociales sin permiso explicito, etc.
Un aspecto que debe preocupar es que estas aplicaciones han sido descargadas en total más de 2.000 millones de veces, por lo que el peligro ante esta vulnerabilidad es muy grande. Los ataques se realizarían a través de la inserción de código en JavaScript que, correctamente programado, dotaría al atacante de un control total del smartphone, dentro de los permisos que tenga aceptados la propia aplicación.
Los permisos que pueden ser explotados con esta vulnerabilidad son:
- createCalendarEvent permite la creación de eventos en el calendario de Android
- sendSMS permite el envío de SMS a números de tarificación adicional (el permiso más peligroso).
- postToSocial permite publicar contenido en las redes sociales sin permiso.
- takeCameraPicture permite tomar fotos con la cámara del smartphone o tablet.
- getGalleryImage permite el acceso a las fotos guardadas en el dispositivo
Los desarrolladores de InMobi han publicado ya una actualización de su SDK que soluciona estas vulnerabilidades por lo que los desarrolladores de las aplicaciones de Android deberán volver a compilarlas con el nuevo SDK para solucionar esta vulnerabilidad. También, el nuevo SDK bloquea las llamadas sin permiso del usuario, una medida más para aportar algo más de seguridad a las aplicaciones.
Fuente: FireEye