martes, diciembre 23, 2014

Navegadores de Android que no debes usar si no quieres que te roben tus contraseñas. Ten cuidado.

El viernes pasado se publicó un aviso de seguridad relativo a una herramienta llamada AppsGeyser que permite crear aplicaciones a partir de aplicaciones web. La idea es bastante sencilla, automatizar un sistema de flujo a través de las famosas Web Views que se usan tanto en apps para iOS como para Android. El hacer navegar por la web un usuario dentro de una aplicación móvil usando estas WebViews puede tener riesgos, ya que en ellas es necesario aplicar todas las medidas de seguridad que un WebBrowser de verdad tiene, y muchas veces hemos visto que no es así. En casos como el ejemplo del robo de cuentas de Apple ID aprovechábamos las Web Views de Gmail para iOS para ocultar la URL donde estaba publicado el servidor de phishing.

Figura 1: Cuidado con los Web Browsers que usas en Android

La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web de https://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones. 

Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.

Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminales Andorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.

Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook

Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APK de las apps que genera, que como podéis ver lleva por nombre BrowserTools.

Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser

Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.

Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play

La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.

Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser

Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.
- MEGA Fast Browser
- Best & Fast Web Browser
- My Personal Browser
- Santini Labs Web Browser
- Suvy Browser
- TheAlwaysBrowser
- Aurora Web Browser
- Internet Access Browser
- STAR WEB BROWSER
- PC Browser Mini
- RSD Browser
- WeBuddy Browser
- IB8 BROWSER - India Browser 8
-
bTown video,serials & browser
Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.

Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces

Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.

Saludos Malignos!

6 comentarios:

  1. Cómo podría comprobar si el navegador Krypton Anonymous no sufre de este mal???

    ResponderEliminar
  2. Gracias por la informacion!!

    ResponderEliminar
  3. Muy buena advertencia, nos ha encantado!

    ResponderEliminar
  4. A si es Chema, ya hace tiempo que cambie de navegador en Android, en Chrome la primera vez que visitas el Phishing se lo come con papas ya que hice la prueba mandandome el enlace al sitio simulando un ataque de Ingeniería Social dando a entender a la "Víctima" (osease, yo pispo) que me avían bloqueado la cuenta de Facebook y que la URL enviada era mi nueva cuenta, (agregame que estoy intentando recuperar a todos mis contactos...) la cosa es que cuando entras al Phishing la pagina se ve chiquitita y hay que ampliarla para ver el Login y claro, eso canta mas que una almeja en verano XD, pero lo pulí metiéndolo en un Feed para Android compatible desde la versión 2.2+ creado en una pagina de forma gratuita, con enlace a Twitter, Facebook, Google+ Lista de Reproducción de mi Canal de Youtube, hasta hace poco lo tenia, pero ese estaba limpio, no vaya a sr que alguien lea y me diga de todo menos bonito ;-) (palabra del niño Jesús) pues lo cierto es que, en el Feed para Android se muestra la cuenta del perfil, en este caso de Twitter en la versión móvil, ni URL ala vista ni na de na que eso es lo jodio vamos que como no andes vivo... te lo comes con papas y su guarnición si cave, al mandarlo la primera vez por WhatsApp y Telegram ni el navegador ni la App lo detecta como tal, pero lo suyo es tener algún complemento que te fuerce el Protocolo HTTPS y altamente recomendado usar Malwarebytes Anti-Malware Movil por si se descarga algo chungo en segundo plano y te avisa de las Webs maliciosas, ante un ataque MITM o App-Fake si el trafico va cifrado bajo el Protocolo HTTPS no te captura las Passwords y, por si fuera poco usar un VPN en los Smartphones siempre, que vas mas lento? si claro un poco, pero es seguro, que mas vale prevenir que curar, soy muy bueno dando consejos pero... ahora que lo pienso! mientras escribía he caído en la cuenta que los desarrolladores de CM me inspiran confianza, hasta tal punto que actualmente estoy usando 'CM Browser' CM desarrolla Apps basándose en la Seguridad y la Optimización de Android pero no he realizado las pruebas pertinentes, jajaja Como dice el refrán; 'En casa de herrero cuchara de palo' XD

    Feliz Naviduuul Dr.Malignooo!

    ResponderEliminar
  5. Sorry por el tocho y no separarlo en parrafos :s

    ResponderEliminar
  6. Quisiera saber Donde se guardan las contraseñas usadas en la aplicacion por ejemplo de Gamil, FAcebook , hotmail. y demas apliaciones que tengo instaladas en mi android

    ResponderEliminar