Una aplicación de la Google Play Store se aprovechaba de la vulnerabilidad “Certifi-gate” de Android. Los investigadores de Check Point observaron que una aplicación de la Google Play Store estaba aprovechando con éxito el Certifi-gate, una vulnerabilidad crítica de Android que la firma de seguridad mostró en la convención Black Hat USA 2015 en Las Vegas. Durante la conferencia, Avi Bashan, líder tecnológico de Check Point, demostró la vulnerabilidad a SCMagazine.com. Mostró cómo una aplicación maliciosa no requería permisos especiales y podía permitir a un atacante tomar control de prácticamente cualquier dispositivo que funcionase con el popular sistema operativo Android. Bashan mostró la vulnerabilidad utilizando como prueba una aplicación de linterna, pero la aplicación maliciosa de la Google Play Store es Recordable Activator, una app de grabación de pantalla de la empresa inglesa Invisibility Ltd con entre 100.000 y 500.000 descargas. Al contrario que la aplicación de linterna que se aprovechaba de la vulnerabilidad Certifi-gate para tomar control absoluto de los dispositivos, Bashan dice que Recordable Activator sólo podía ser usado para grabar la pantalla.
Un enviado de Google ha confirmado a SCMagazine.com en un email enviado este martes que la app ha sido suspendida, pero que ninguna otra app de Inivisibility Ltd (“FACIL captura de pantalla NO ROOT” y “GRATIS grabar pantalla NO ROOT”) se aprovecha de la vulnerabilidad, y aún están disponibles en la Google Play Store.
Certifi-gate existe debido a un problema con la arquitectura de las populares herramientas de soporte remoto para móviles utilizadas por prácticamente todos los fabricantes de dispositivos y proveedores de servicios de red. De acuerdo a un post de Check Point de este martes, el problema con Recordable Activator está relacionado con una versión vulnerable de un plugin de TeamViewer. TeamViewer tomó los pasos necesarios a principios de este mes para mitigar la amenaza de Certifi-gate, explicando en un comunicado de prensa que “la versión actualizada de TeamViewer QuickSupport para Android incluye un mecanismo de seguridad mejorado que asegura la comunicación segura entre los componentes internos de las apps.”
Bashan dijo a SCMagazine en uno de los emails que se enviaron este martes que a pesar de los esfuerzos por parte de TeamViewer, las versiones más antiguas del plugin todavía siguen por ahí y alguien que intente vulnerar el Certifi-gate podría seguir encontrando versiones vulnerables del plugin a partir de, por ejemplo, un servidor de terceros. Christopher Fraser, director de Invisibility Ltd y desarrollador de Recordable Activator, explicó a SCMagazine en otro de los emails de este martes que nunca tuvo intención de aprovecharse de la vulnerabilidad de Android Certifi-gate.
Fraser dijo que contactó con las empresas para que firmasen su propio plugin sólo para simplificar los procesos para utilizar su aplicación. No fue hasta después de un tiempo esperando su respuesta que se dio cuenta que la app TeamViewer QuickSupport es de libre distribución, dijo.
“Los plugins permitían acceso a aplicaciones (de terceros) a la pantalla así que añadí compatibilidad para usar esto a través de la app Recordable Activator,” dijo Fraser. “Sólo lo tenía como una solución temporal hasta tener mi propio plugin, pero nunca recibí respuesta de las empresas con las que contacté.”
Mientras tanto, Check Point ha conseguido más de 30.000 escaneos anónimos de usuarios de su app escáner de Certifi-gate. De esos datos, la firma de seguridad determina que el 42 por ciento de los dispositivos no eran vulnerables a Certifi-gate, el 42 por ciento sí lo era, y aproximadamente un 16 por ciento tenía un plugin vulnerable instalado, y el 0’1 fueron hackeados.
