Miguel Ángel Jimeno es un joven aprendiz de seguridad informática de La Rioja que con 17 años se ha abierto un blog llamado "Researching for fun" en el que está publicando los primeros bugs de XSS que ha encontrado. Por el momento ha publico un Stored XSS en Avast, un XSS en Tumblr, un XSS en Shaukk y un Stored XSS en un dominio de Google usando un fichero en Flash. El último de sus descubrimientos fue un fallo de tipo HTML Injection en la aplicación Play Store de Android que reportó al equipo de Google. Han pasado un par de meses y parece que ya debería estar arreglado, así que aquí está la información del bug y su experiencia en el reporte del mismo.
Saludos Malignos!
HTML Injection en la aplicación Google Play Store
Para reproducir el fallo se debe ir desde el terminal Android en Play Store a Mis Aplicaciones y pulsar sobre cualquier aplicación. Se selecciona la opción para dar tu opinión y solo es necesario rellenar un número aleatorio de estrellas, poner el resumen que quieras y en el apartado que dice “Comentar” escribir cualquier código HTML. Para la prueba de concepto yo utilicé <img src=”a”/>. Y ya puedes publicar el comentario con el HTML Injection.
En este ejemplo se puede ver un cuadrado con la imagen en fondo azul claro, que demuestra que se podía inyectar un código HTML en el comentario. Esto solamente es una prueba de concepto, pero podría publicarse casi cualquier etiqueta HTML, sirva como ejemplo publicidad de una app infectada propia entre etiquetas, seguro que más de un curioso la descargaría, o como forma de distribuir troyanos para terminales Android. La prueba está hecha con un Nexus 4 en 4.4.2.
Como información, os dejo cómo fue la cronología del reporte por si alguien tiene una experiencia similar. Tras varias respuestas automáticas se pasa el fallo al equipo de seguridad de Android el 14/12/2013.
Autor:
Miguel Ángel Jimeno (@migueljimeno96)
Saludos Malignos!
HTML Injection en la aplicación Google Play Store
Para reproducir el fallo se debe ir desde el terminal Android en Play Store a Mis Aplicaciones y pulsar sobre cualquier aplicación. Se selecciona la opción para dar tu opinión y solo es necesario rellenar un número aleatorio de estrellas, poner el resumen que quieras y en el apartado que dice “Comentar” escribir cualquier código HTML. Para la prueba de concepto yo utilicé <img src=”a”/>. Y ya puedes publicar el comentario con el HTML Injection.
Figura 1: Publicando un comentario con HTML Injection en Play Store |
En este ejemplo se puede ver un cuadrado con la imagen en fondo azul claro, que demuestra que se podía inyectar un código HTML en el comentario. Esto solamente es una prueba de concepto, pero podría publicarse casi cualquier etiqueta HTML, sirva como ejemplo publicidad de una app infectada propia entre etiquetas, seguro que más de un curioso la descargaría, o como forma de distribuir troyanos para terminales Android. La prueba está hecha con un Nexus 4 en 4.4.2.
Figura 2: El comentario queda publicado |
Como información, os dejo cómo fue la cronología del reporte por si alguien tiene una experiencia similar. Tras varias respuestas automáticas se pasa el fallo al equipo de seguridad de Android el 14/12/2013.
Hello,
Thank you for the report, I have forwarded it on to the Android security team.Se pasa el caso al equipo encargado del Play Store el 16/12/2013:
Regards,
Thank you very much for the report, Miguel. I've forwarded it to the Google Play team. I'll keep you posted.
Best Regards,Desde el Android Security Team el día 26/12/2013 dicen estar probando un parche:
Hi Miguel,
The Play team is now testing a fix -- I should know the expected live date for the change soon after the holidays.
Thanks,El 7/2/2014 dicen que el fallo debería estar ya arreglado, aunque aún no sé cómo y dónde, pues parece que aún funciona.
Hi Miguel,
This issue should now be fixed. Thank you very much for your assistance.Tras preguntar sobre mi elegibilidad para el Hall of Fame de Google, obtengo esta respuesta:
Android Security Team
Hi Miguel,
We appreciate you reporting this issue to us, but unfortunately most non-web applications other than Google Wallet and Google Chrome are excluded from the Vulnerability Rewards Program. More info on what's in scope for the program is available here: http://www.google.com/about/appsecurity/reward-program/index.html. Thanks!
Regards,Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas. Mi conclusión: si deseo alguna recompensa por parte de Google, debo seguir intentándolo, pero al menos fui capaz de encontrar un fallo en un software de Google, lo que no está nada mal.
Autor:
Miguel Ángel Jimeno (@migueljimeno96)
Ahora cuando empiecen a enlazar con páginas "sexualmente explicitas" xDDD lo mismo se lo toman de otra manera. Buen trabajo del chaval, no se me habría ocurrido.
ResponderEliminarBuenos dias!
ResponderEliminarBuen curro, en donde menos te lo esperas salta la liebre, joder que pasada, no veas con google! es p... un coladero! Muchas gracias por la info! Salu2 Dr.Maligno!
Google.... ZAS!! En toda la boca :)
ResponderEliminar@migueljimeno96: Good finding! & Keep it up!
ResponderEliminarSimplemente algunas correcciones para el autor.
Respecto a: "Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas."
Vuélvelos a leer porque esto acaba de revisarse hace días [1]
Con lo cual ese bug, reportado hoy, sí que hubiera sido recompensado.
De todas formas yo mandaría un mail de nuevo a ver si cuela. Creo que serían solo $100 [2] pero buenos son para ir empezando :-)
Saludos!
[1]http://googleonlinesecurity.blogspot.com/2014/02/security-reward-programs-update.html
[2]http://www.google.com/about/appsecurity/reward-program/
Hice el teste y para codigos de redirecionamiento de paginas parece no estar funcionando :P
ResponderEliminarHace unos meses reporté la misma vulnerabilidad en dos aplicaciones de Yahoo y me dijeron que no eran para nada peligrosas. Ahí siguen.
ResponderEliminarSaludos.
17 años, sí señor; que no digan que la juventud de hoy en día no se aplica. Ánimo al chico, que no decaiga esa actitud.
ResponderEliminarSaludos.
Esa "vuln" yo la reporte hace bastante tiempo, incluso se puede llegar a explotar un poco mas pero nunca llegue a ejecución arbitraria de código JS así que para los términos de google no es una vulnerabilidad lo suficientemente grave como para prestarle atención.
ResponderEliminarEn cambio para OWASP si es una vulnerabilidad: https://www.owasp.org/index.php/HTML_Injection
PoC:
http://i.imgur.com/rLert2N.png
http://i.imgur.com/7Dz6rUs.jpg
http://i.imgur.com/D7acKLy.png
Lo que gane por parte de Google es que me banearan la cuenta de desarrollador y que nunca mas pude publicar aplicaciones para Android.
Olvide poner las de la aplicación de Android:
ResponderEliminar-http://i.imgur.com/jfqmUuW.jpg
-http://i.imgur.com/W8a6J1J.jpg
Bueno, tras ver las imágenes creo que tu fallo es otro, el mío solo se reproduce en el terminal. Pero bueno, digamos que he copiado el fallo y Chema debe borrar la entrada o decir que la he plagiado, ¿no?
ResponderEliminarUn "saludo".
De hecho, mi fallo está en lls comentarios o críticas de la App, no en la descripción.
ResponderEliminarMiguel Ángel Jimeno.
Miguel Ángel Jimeno Arce Aquí nadie a copiado a nadie :-) , me alegro mucho que hayas encontrado ese bug y otros muchos mas interesantes que he visto en tu blog, solo me refería al tema de Google que recuerdo haberme cabreado porque me bloquearon la cuenta de desarrollador.
ResponderEliminarMi conclusión es que no hay que trabajar de gratis o esperando una galleta a cambio por caridad.
ResponderEliminarLástima que no recibiste la recompensa que merecías.
Alberto es GAY XD
ResponderEliminar