Sin permisos aún es posible robar información sensible de un teléfono Android

Gabolonte Blasfemus

imageLo demostró Paul Brodeur  del Leviathan Security Group, quien, a raíz de todas las noticias del último año sobre aplicaciones que son capaces de obtener información personal supuestamente protegida de dispositivos iOS y Android se hizo una simple pregunta: ¿A cuánto puede acceder una aplicación en Android sin ningún permiso otorgado? La respuesta da miedo:

En primer lugar puede acceder en modo de solo lectura a todos los archivos que no estén ocultos de la tarjeta SD, lugar donde por defecto se guardan todas las fotos que sacamos, lo videos que filmamos, y cientos de aplicaciones depositan archivos con información sensible. Aparentemente, esta característica es conocida y advertida debidamente en la documentación para desarrolladores de Android; aún así son legión las aplicaciones que utilizan la SDCARD para guardar sus archivos de configuración y trabajo. Un caso crítico es el que el mismo Paul detalla con OpenVPN, en cuya versión para Android los certificados de conexión son almacenados por defecto en esta misma locación.

También es posible acceder al archivo  /data/system/packages.list, que lista las aplicaciones actualmente instaladas en el dispositivo. Desde ahí es posible escanear los directorios utilizados por cada aplicación para descubrir cuales, gracias a una mala configuración de los permisos, pueden ser leídos, descubriendo en muchos información sensible. Mientras que en el emulador de Android este método reveló resultados infructuosos, para sorpresa de este investigador en dispositivos reales fue capaz de acceder a muchos archivos que debían estar debidamente protegidos, pero no era el caso.

Por último, es posible obtener información identificativa del dispositivo en sí. Tanto el ID del fabricante de la tarjeta SIM como del módulo GSM pueden ser leídos. También el Android ID, un número que se genera aleatoriamente la primera vez que se arranca un dispositivo y permanece almacenado desde ahí, convirtiéndose en una especie de cookie permanente del aparato. Pero tal vez los datos más sensibles que se pueden obtener en torno a este apartado son los que residen en la ruta /proc/version, que revelan la versión del kernel y, posiblemente también, qué tipo de ROM está instalada en el equipo, abriendo la puerta a ataques personalizados de acuerdo a las vulnerabilidades que presenta cada una.

Ahora bien, ¿qué se puede hacer con toda esta info si se carece del permiso INTERNET para crear una conexión al exterior y enviarla? Posiblemente esta sea la guinda del postre que termine de coronar este desastre de privacidad en Android, pero una aplicación sin permisos aún puede tener acceso a Internet mediante una llamada a lo que en Android se conoce como intents, en este caso en particular URI ACTION_VIEW, que abre una URL en el navegador con la dirección que se nos de la gana pasarle. Esta dirección puede contener parámetros GET que envíen la información recolectada al servidor de elección del atacante. Para peor, la aplicación puede continuar lanzando al navegador incluso cuando ya perdió el foco, permitiéndole realizar múltiples llamadas, las necesarias hasta terminar de transferir toda la información recolectada de nuestro smartphone Android.

En el post original de Paul Brodeur es posible obtener tanto el código fuente como la versión compilada de NoPermissions, su prueba de concepto de este tremendo agujero de seguridad, de manera que podemos probar por nosotros mismos la veracidad de sus afirmaciones.

¿Qué nos enseña todo esto? Al final, por más esfuerzos que nos quieren mostrar los jugadores actuales estableciendo esquemas de seguridad y permisos, todo es, como dicen los yanquis, bullshit. Así como en la época del Windows 95 sospechábamos que Microsoft estaba recolectando toda nuestra información cuando el LED del disco rígido nos mostraba que trabajaba incesantemente y sin razón aparentemente, al día de hoy no progresamos demasiado. En casi (y digo casi para no herir susceptibilidades) cualquier plataforma estamos expuestos, cuando menos, en manos de quienes la crearon. Hagamos lo que hagamos ellos, o para peor, quienes desarrollen código para la plataforma, pueden obtener mucho de nosotros. ¿La única diferencia? En la época del Win95 no guardábamos tanta información personal y privada como ahora…

Visto en: Hack Players

Link original: Zero-Permission Android Applications


Comments are closed.