El boletín de seguridad de Android de marzo ya está listo e incluye el parche para la vulnerabilidad CVE-2020-0069, apodada MediaTek-Su y que supone que una aplicación puede obtener permisos de root en varios dispositivos con procesador de MediaTek.

No se trata de una vulnerabilidad nueva, y en los foros de XDA se mencionaba ya en abril de 2019 como un modo fácil de obtener root en dispositivos de Amazon y otros móviles con MediaTek. El problema es que la vulnerabilidad estaba siendo explotada activamente por malware desde, al menos, enero de este año.

Qué es MediaTek-su

Es difícil encontrar el origen exacto de MediaTek-su, o MTK-su, pero hace aproximadamente un año aparecía en los foros de XDA como un modo de obtener root temporal en varios dispositivos con chipsets de MediaTek. La principal ventaja es que no hacía falta desbloquear el bootloader para obtener acceso root. La mala noticia es que el acceso root era temporal: desaparecía al reiniciar.

El exploit es relativamente sencillo, pues solo necesitas descargar un script, conectar al móvil mediante ADB e introducir un par de comandos. El problema es que además de poder ser usado por usuarios que quieren tener un mayor control de sus móviles, aplicaciones maliciosas lo pueden aprovechar para ganar permiso root. De hecho, según los investigadores de TrendMicro, ya hay aplicaciones que están explotando esta vulnerabilidad.

Ejemplos de aplicaciones que explotaron MTK-su

Según cuentan en XDA, MediaTek lanzó el parche con la corrección hace meses, pero es responsabilidad de los fabricantes de móviles con este SoC implementar los parches y enviarlos a los dispositivos como actualizaciones de seguridad. Ahora que la solución se ha integrado en el parche de seguridad de marzo, se espera que la solución llegue a más dispositivos.

Dispositivos afectados

El Nokia 3.1 es uno de los dispositivos afectados

Esta vulnerabilidad está presente en gran parte de los SoC de MediaTek, especialmente en aquellos con versiones del Linux de Kernel 3.18, 4.4, 4.9 o 4.14 y con las versiones de Android 7, 8 o 9. El exploit no funciona en Android 10, así que al menos los últimos terminales están a salvo. La lista completa de chipsets afectados es la siguiente:

• MT6735
• MT6737
• MT6738
• MT6739
• MT6750
• MT6753
• MT6755 (Helio P10)
• MT6757 (Helio P20)
• MT6758 (Helio P30)
• MT6761 (Helio A22)
• MT6762 (Helio P22)
• MT6763 (Helio P23)
• MT6765 (Helio P35)
• MT6771 (Helio P60)
• MT6779 (Helio P90)
• MT6795 (Helio X10)
• MT6797 (Helio X20)
• MT6799 (Helio X30)
• MT8163
• MT8167
• MT8173
• MT8176
• MT8183
• MT6580
• MT6595

Ahora bien, hay algunas excepciones según comentan desde XDA. El exploit no se aplica a los móviles con MediaTek de Vivo, OPPO, Huawei, Honor o Samsung con versiones de Android 8.0 o superior, pues integran modificaciones en el kernel que hacen que el script no funcione, si bien "en teoría" podría ser que siga siendo posible crear una versión adaptada para estos dispositivos.

En Xataka Android

He instalado todos los malware de Android: esto es lo que ocurre si te saltas los consejos de seguridad

Puedes comprobar la versión del Kernel de Linux desde los ajustes de Android, aunque el modo más infalible de probar si tu móvil está afectado por esta vulnerabilidad es probar el script original y ver si logras acceso root temporal (el símbolo del sistema cambia de $ a #).

De ser el caso, la buena noticia es que la corrección se incluye en el parche de seguridad de marzo. La mala noticia es que muchos dispositivos con procesador MediaTek son gama de entrada o gama media y en ocasiones no reciben los parches de seguridad.

Vía | XDA

La seguridad es una de las preocupaciones que afecta a cualquier plataforma, aunque quizás recientemente se ha puesto de actualidad tras el ataque masivo del ransomware WannaCry. Hace poco os hablamos de las amenazas más graves que habían afectado a Android, pero el ransomware no es el único tipo de ataque al que se enfrenta Android.

Investigadores de la Universidad de Santa Bárbara y el Instituto Tecnológico de Georgia han descubierto una vulnerabilidad que puede ser aprovechada en un ataque 'Cloak and Dagger', una expresión que se traduce literalmente por 'misterio e intriga'. El exploit podría permitir que un atacante tomara control total del dispositivo sin que el usuario detecte actividad sospechosa, todo oculto bajo una interfaz aparentemente inocente.

'Cloak and Dagger', el exploit que se disfraza y ataca Android sin ser detectado

'Cloak and Dagger' es el nombre de un nuevo y peligroso tipo de ataque que podría afectar a Android. Decimos podría porque ha sido descubierto y recreado por investigadores, pero de momento no se ha producido en un escenario real, al menos no que se sepa.

Lo que hace más peligroso a este ataque es que solamente necesita activar dos permisos: 'draw on top' y 'ally'. El primero se concede de forma automática a todas las apps que descargamos desde la Play Store y entonces empieza el show.

Para conseguir que demos acceso al segundo permiso, el atacante usa una técnica llamada 'clickjacking', que consiste en mostrarnos una pantalla de apariencia inocente que oculta lo que de verdad está sucediendo en el teléfono. En el vídeo se puede ver en acción.

La app creada para demostrar este exploit muestra una pantalla con el logo de Android que nos indica que vamos a ver un tutorial. Tras pulsar en siguiente y después OK se inicia un vídeo, pero lo que ha sucedido en realidad es que hemos dado permiso a 'ally'.

Una vez conseguido, el atacante toma control absoluto del terminal y puede descargar e instalar una aplicación maliciosa en el dispositivo. Además, podría hacerlo incluso con la pantalla del teléfono apagada, por lo que no nos enteraríamos de absolutamente nada.

La buena noticia es que Google está al tanto de este problema y ya han actualizado Google Play Protect para evitar la entrada de alguna aplicación de este tipo. Se espera que los ataques 'Cloak and Dagger' queden fuera de juego con la actualización a Android O.

Vía | Engadget
En Xataka Android | Siete consejos para evitar malware en Android

El tema de la seguridad en nuestros terminales, y en Android en general, es bastante delicado, pues aunque sea un sistema operativo realmente seguro, el hecho de que tenga una cuota de mercado mundial aplastante le hace objetivo de aquellos hackers que buscan cualquier vulnerabilidad para diversos fines, tanto buenos como malos.

Para ayudar a mejorar aún más la seguridad en nuestro sistema operativo, que ya de por sí va ganando año tras año, se aprovechan algunos eventos de hackers para "desafiarlos" a hackear Android o un terminal en concreto. SI alguien los consigue antes que los demás, no es extraño que se lleven un premio por el esfuerzo.

Uno de estos eventos es PwnFest, en el que el equipo chino, llamado Qihoo 360 consiguió hackear el Google Pixel mediante un exploit que no han revelado. Éste se encargaba de abrir Google Play y luego abrir Google Chrome para mostrar una página en la que ponía "Pwned By 360 Alpha Team". El premio para este equipo fue de 120.000 dólares, poca cosa oiga.

Pero esta no es la primera vez que se consigue hackear un Google Pixel durante un evento, pues ya se consiguió antes durante el evento japonés Pwn2Own, cuando el equipo Keen Team usó un exploit de día cero (o zero-day) para entrar en el teléfono. Ambas vulnerabilidades se enviarán a Google para parchearlas y mejorar la seguridad de este caro terminal.

Siempre es un alivio que se consiga descubrir vulnerabilidades durante un evento en lugar de en la calle, pues en éstos se tiene el objetivo de construir un internet y unos dispositivos más seguros para el usuario de a pie y que podamos usarlos sin el temor de que alguien con malas intenciones nos robe los datos o información más delicada.

Vía | Android Authority
En Xataka Android | Cinco características de los Google Pixel que puedes llevar a otros Android

Hasta ahora, la mayoría de los problemas de seguridad en forma de virus y vulnerabilidades de seguridad, llegaban vía una aplicación maliciosa que debías instalar por ti mismo. Generalmente desde fuera de Google Play, aunque desgraciadamente de vez en cuando consiguen llegar también a la tienda de Google.

Los atacantes han hecho uso de todo su ingenio para lograr que instales su aplicación maliciosa: desde crear juegos enteros "con regalo" hasta prometerte cosas increíbles desde los banners de publicidad de páginas web cuando las visitas desde el móvil. Aun así, si eras cuidadoso siempre te quedaba la falsa ilusión de seguridad de pensar que "si sabes lo que instalas y no pruebas nada raro, no tendrás problemas".

Un nuevo informe de seguridad de la firma de seguridad Blue Coat asegura haber encontrado el que califican como el primer ataque sin necesidad de la intervención del usuario. En este caso concreto se trata de un aviso de seguridad al estilo "ransomware" que se descarga e instala automáticamente desde un sitio malicioso, como por ejemplo un banner de publicidad, sin que te enteres.

La ciber-policia te vigila

Como usuario, esta sería tu historia si tu dispositivo resulta infectado por este mismo malware. Usas el navegador del móvil para navegar por páginas en el límite del bien y del mal (por ejemplo, páginas de piratería, páginas porno, etc.) y un código Javascript malicioso inyectado en un banner de publicidad descarga un archivo ejecutable de Linux ELF llamado module.so con un exploit basado Towelroot.

Towelroot es un viejo conocido en Android, que muchos usuarios han usado para rootear bajo su propia cuenta y riesgo sus móviles, pero cuando tu móvil descarga y se rootea por sí mismo, nada bueno puede pasar a continuación.

Ya con permisos de root, este ataque descarga la aplicación APK maliciosa y la instala por si mismo, sin que recibas ningún aviso. En el caso concreto encontrado por Blue Coat la aplicación bloquea el teléfono para que no lo puedas usar ni recibir o realizar llamadas. Solo puedes leer su mensaje.

El mensaje, ambiguo, básicamente te dice que han bloqueado tu móvil por razones indicadas más abajo. Si vas más abajo, no verás ninguna razón real, sino más bien bla-bla y datos obtenidos del teléfono como el modelo, el país y la dirección IP, cuyo objetivo es simplemente asustarte.

En la parte superior hay una cuenta atrás de tres días. El tiempo que tienes para pagar la multa de 200 dólares en la curiosa forma de tarjetas de regalo de iTunes. Los hackers te dan la opción de comprar dos tarjetas de regalo de 100 dólares, o cuatro de 50 dólares. Todo un detalle.

A diferencia de otros ransomware, especialmente en PC, este nuevo ataque no usa otros métodos más agresivos como cifrar el contenido del móvil y pedir un rescate por el mismo. En este caso parece ser más bien un farol tratando de hacer caja del factor miedo.

¿Debería preocuparme?

Lo primero de todo, los investigadores de Blue Coat están bien seguros del tipo de exploit usado para infiltrar en versiones antiguas de Android desde 4.0.3. Esta vulnerabilidad está parcheada desde Android 4.4.4, la misma versión de algunos dispositivos que también han sido infectados, por lo que todo parece indicar que hace uso de otra vulnerabilidad distinta para acceder a esta versión.

Con todo esto, la forma de estar realmente fuera del radar es tener una versión más moderna de Android como es Lollipop o Marshmallow. Este exploit solo ha sido detectado en dispositivos con Android desde 4.0.3 a 4.4.4.

¿Tu versión de Android se encuentra en este rango? No es de extrañar, pues según los últimos datos de Google el 56.9% de los móviles funciona con versiones afectadas. Esto no quiere decir que debas tirarlo por la ventana y comprarte un nuevo Nexus, pero deberás tener algo de cuidado de por qué lugares de la red te mueves en el móvil.

Algunos navegadores, como Chrome, te avisarán cuando intentes entrar en una página denunciada por contener malware. No es una solución infalible, pero especialmente si tienes una versión afectada sería mejor que te lo pensaras dos veces antes de ignorar dichos mensajes.

¿Y si me infecto?

Suponiendo que tengas la mala suerte de recibir un aviso del estilo en tu móvil, hay varias cosas que puedes hacer. Los investigadores de Blue Coat han confirmado que la aplicación maliciosa y el aviso desaparecen por completo al hacer un reinicio de fábrica. Si el aviso no te deja hacerlo desde el terminal, probablemente puedas hacerlo desde la companion app para PC, si la hubiera (por ejemplo, Kies).

El método anterior borrará todos tus datos y aplicaciones, así que no te olvides de hacer una copia de seguridad usando el mismo sistema. No obstante, algunos usuarios apuntan a otra solución bastante más sencilla e inocua, el Modo Seguro de Android.

Hay varios modos de iniciar el sistema en modo seguro, o Safe mode, aunque los más normales son:

• Una pulsación prolongada en "Apagar" en el menú de apagado, hasta que una ventana de aviso te pregunta si quieres reiniciar en modo seguro.

• Encendiendo el teléfono mientras pulsas una tecla de volumen como es el caso de disminuir volumen en móviles Samsung.

Consulta el método concreto para tu móvil e inicia el terminal en modo seguro. Después, en los Ajustes - Aplicaciones, deberías ser capaz de encontrar la aplicación adicional y desinstalarla, con lo cual en teoría tu móvil debería volver a la normalidad.

Vía | Ars Technica
En Xataka Android | Otro troyano acecha en más de 60 juegos disponibles en Google Play

Los móviles con un lector de huellas dactilares han llegado para quedarse y son cada vez más las aplicaciones que soportan esta capa adicional de seguridad. La idea es buena, pues no necesitas recordar ninguna contraseña ni PIN: solo necesitas tu dedo.

Los lectores de huellas dactilares han sido cuestionados con frecuencia en cuanto a si son seguros o no. Por ejemplo, con una foto de suficiente resolución y algo de paciencia puedes crearte un "dedo falso" con el que desbloquear el teléfono de alguien. No es fácil, pero tampoco imposible.

Ahora es el turno del escáner presente en el LG V10, que el YouTuber Matt OnYourScreen ha logrado saltarse de un modo curioso: usando el widget de actividades de Nova Explorer es posible añadir más dedos sin necesidad de confirmar la seguridad antes.

Un hack con algunos prerrequisitos

Para que alguien logre hacer uso de este exploit se deben de dar una serie de prerrequisitos. Necesitas tener Nova Launcher instalado (lo cual por otro lado no sería raro, pues es un lanzador excelente) y dejar tu teléfono desbloqueado a alguien con suficiente tiempo para crear un widget y configurar su dedo.

Estos requisitos implican que probablemente no debas preocuparte demasiado por este exploit, pues el atacante necesita tener de entrada tu teléfono desbloqueado por unos segundos. En cualquier caso, nunca está de más ser precavido y el método es bastante curioso de por sí.

Aunque para acceder a las opciones del lector de huellas de LG necesitas confirmar tu identidad introduciendo un PIN, no se te pide confirmación alguna creando un acceso directo a la actividad Add Fingerprint de com.lge.fingerprintsettings. Esto posibilita añadir nuevas huellas y potencialmente ganar acceso al dispositivo.

Por suerte es muy fácil evitar que alguien haga uso de este exploit. Lo primero, si no usas Nova Launcher (u otra aplicación con la cual puedas lanzar actividades), ya no tienes de qué preocuparte. Si si es tu caso lo único que tienes que hacer es completar las cuatro huellas que te permite el sistema y así evitarás que alguien añada las suyas propias en un descuido. Eso, o no dejar tu teléfono desbloqueado sin supervisión a nadie.

Vía | PocketNow
En Xataka Android | 11 aplicaciones en las que ya puedes utilizar el lector de huellas de tu smartphone Android

El mismo entusiasta indio que hace un año encontró cómo bloquear WhatsApp enviando un mensaje de 2.000 caracteres y 2 KB de peso ha vuelto con un nuevo exploit: ahora ha descubierto que lo único que necesitas es enviar un mensaje con más de 4.000 emojis o más.

La ciencia detrás de este exploit es bastante sencilla. La versión web de WhatsApp te permite enviar un máximo de 65.000 caracteres, pero si incluyes una cantidad descomunal de emoji, como en este caso más de 4.000, el mensaje se envía pero acaba bloqueando la aplicación al desbordarse su búfer.

Cómo funciona este exploit

Aunque técnicamente debería ser posible usar este exploit desde la aplicación para móvil, en cuanto que has incluido más de mil emojis se vuelve muy inestable y casi imposible de manejar, resultando casi imposible enviar el mensaje. Es mucho más fácil conseguirlo desde la versión Web, que es la que usa Indrajeet Bhuyan, su descubridor, en este vídeo de demostración.

En el vídeo se ve claramente lo fácil que es usar este exploit para bloquear la conversación de cualquier persona, así como el bloqueo tanto de la aplicación como de la versión web.

Yo acabo de probarlo, por la ciencia, y la verdad es que es muy fácil bloquear la aplicación para móvil. De hecho, en un teléfono de gama baja o media es probable que sea suficiente con una cantidad de emojis mucho menor. La versión web, no obstante, no se me bloqueó con 4.000 emoji, así que es de suponer que también depende de la potencia del PC.

Qué hacer si recibes un mensaje así

Si alguno de tus contactos es tan "simpático" de usar esta técnica contra ti y bloquearte la conversación de WhatsApp, lo que debes hacer es borrar la conversación sin entrar a ella.

En la aplicación, ve a la pestaña Chats, haz pulsación prolongada en el chat malicioso y por último elige Eliminar chat. También puedes probar a eliminarla desde la versión web de WhatsApp, pues parece no bloquearse con igual facilidad.

Hace un año, WhatsApp corrigió un error similar limitando el número máximo de caracteres por mensaje, pero no así el máximo de emojis que podías insertar. Es presumible que una próxima actualización de WhatsApp introduzca también un límite de emoji por mensaje a una cifra razonable.

Más información | Hackatrick
En Xataka Android | ¿WhatsApp con videollamadas y pestañas? Así lo sugieren imágenes filtradas

Investigadores de Bluebox Security han revelado un fallo de seguridad flagrante en Android. Según parece podría afectar hasta al 99% de los dispositivos Android que hay en el mercado comenzando desde los que integraban Android 1.6 hasta las versiones más actuales.

Sólo hay un terminal, Samsung Galaxy S4, que es inmune a esta vulnerabilidad que permite alterar el paquete APK de un programa firmado correctamente sin alterar su firma criptográfica, es decir, que desde el punto de vista de Android sería un paquete fidedigno, sin ninguna modificación.

Para aprovecharse de este problema vía exploit un desarrollador de aplicaciones debería instar a usuarios a que instalen su aplicación APK. Una vez instalada la aplicación maliciosa camuflada con un cifrado correcto podría llegarse a conseguir control root del dispositivo si el paquete ha sido instalada como app de sistema por el fabricante o cocinero de ROMs.

Que un terminal como Galaxy S4 sea inmune no será fruto del azar y podemos intuir que hay una solución vía parche de seguridad de camino, pero ahora, más que nunca te invitamos a ceñirte exclusivamente a instalar APKs de la tienda de aplicaciones Google hasta que se aclare el tema.

Más información | Bluebox Security

Symantec acaba de anunciar que un exploit del kernel Linux que permite el escalado de privilegios de usuario se ha portado a Android. La vulnerabilidad en cuestión se desveló el pasado 14 de mayo y afectaba a numerosas distribuciones de Linux que usaban el kernel 2.6.x.

Red Hat, Canonical y otras distribuciones han parcheado las vulnerabilidades en Linux pero Symantec acaba de confirmar que el exploit ha sido portado a Android y afecta a todos los smartphones que utilicen versiones previas de Jelly Bean.

La vulnerabilidad del kernel Linux es la conocida como CVE-2013-2094 y permite el escalado de privilegios. En palabras de Symantec:

"El sistema operativo Android normalmente ejecuta las aplicaciones en modo sandbox por lo que no pueden realizar operaciones peligrosas para el sistema o interferir con otras aplicaciones instaladas. En el pasado, hemos visto cómo malware utiliza exploits de escalado de privilegios para acceder a datos desde otras aplicaciones, prevenir desinstalaciones, esconderse y también saltarse el modelo de permisos de Android y permitir comportamientos como mandar mensajes SMS premium sin autorización del usuario"

Aunque Symantec ha dejado claro que la vulnerabilidad afectaba al kernel Linux 2.6, la firma no comenta las versiones a las que afecta la versión mutada del exploit para Android.

La recomendación de Symantec es ceñirse a fuentes oficiales de aplicaciones, como Google Play y evitar fuentes de seguridad dudosa.

En Xataka Android | Malware en Android Más información | Symantec

Descubrir un exploit, en hardware o software, normalmente suele ser noticia. A veces buenas o a veces malas, todo depende de según como se mire y en este caso la última vulnerabilidad descubierta en Android nos trae un poco de los dos sabores.

Un grupo de usuarios de XDA ha descubierto un fallo en los procesadores Exynos de Samsung que permite a una aplicación acceder a la memoria del Smartphone sin ningún tipo de limitación. Algo que para algunos puede ser una bendición pero para otros un problema. Vayamos por partes.

¿Qué dispositivos están afectados?

A día de hoy, este fallo afecta a todos los procesadores Exynos con doble núcleo o más. Es decir, cualquier dispositivo posterior al Samsung Galaxy SII, este modelo también está incluido, entran dentro de esta categoría. Por supuesto, los SIII, Note II, Note 10.1 y el Nexus 10 están en la lista.

Todavía hay trabajo que y es posible que algún dispositivo se una más a la lista. Recientemente se descubrió que este fallo también funcionaba en el Meizu MX, que usa la tecnología de Samsung. En resumen, un buen abanico de dispositivos. Ahora veamos lo bueno y lo malo.

La parte positiva: root en un click para todos

Empecemos primero con lo que ganamos gracias a este fallo: root de forma muy sencilla. Ya no necesitamos usar Odin u otros métodos más complicados que requieren usar aplicaciones en el ordenador. Con un apk de Chainfire, famoso desarrollador para los smartphones Samsung, sólo tenemos que hacer un click.

De forma tan sencilla, tendremos acceso como administrador a nuestro móvil y a raíz de ello hacer cosas que no podíamos antes: flashear una ROM, usar apps como Titanium Backup… En Xataka Android ya os hemos hablado del tema en más de una ocasión y si nos gusta experimentar es genial.

Por cierto, la aplicación de Chainfire también se encarga de parchear esta vulnerabilidad por lo que si queremos protegernos para posibles ataques es una buena opción también. Eso sí, su creador ya nos avisa en el propio apk que igual la cámara no funciona bien.

La parte negativa: el uso malicioso

Ahora bien, veamos la parte negativa. Tener un acceso completo sin nuestro permiso hace que cualquier desarrollador pueda usar este fallo de forma maliciosa y ganar permisos de administrador para tomar control de nuestro Smartphone.

Dicho así, es una vulnerabilidad bastante grave. Sin embargo, también hay que ser conscientes de el uso que hacemos con nuestro móvil. De acuerdo, el fallo está ahí pero como siempre os decimos: sólo instalar aplicaciones que sean de confianza.

Aunque Google pone de su parte por limpiar su tienda de aplicaciones, a veces se cuelan cosas que no vienen a cuento. Todo esto sin contar claro las apps que se pueden instalar fuera de ella. Recordad, siempre mirad bien qué instaláis en vuestro Android.

Ahora mismo el balón está en el tejado de Samsung. La vulnerabilidad se puede solucionar mediante una actualización y esperemos que muevan ficha para solucionarlo, no todo el mundo está interesado en sacar provecho positivo de este fallo.

Vía | XDA