Un investigador de seguridad ha publicado código de prueba de concepto que aprovecha una vulnerabilidad en la mayoría de las versiones del sistema operativo para smartphones Android de Google.

MJ Keith de Alert Logic, dijo haber publicado el código de ataque para exponer lo que caracterizó como prácticas inadecuadas de parchado en la plataforma móvil de código abierto. En lugar de encontrar el error subyacente por sí mismo, él buscó a través de una lista de fallos de seguridad documentadas para Safari de Apple, que se basa en el mismo motor de navegador Webkit utilizado en Android. En poco tiempo, obtuvo un ataque que explota cerca de dos tercios de los teléfonos que se basan en el sistema operativo.

“Ellos necesitan un mejor sistema de parches”, dijo Keith a The Register. “Ellos hacen un buen trabajo de reparación de futuras versiones, pero creo que un mejor sistema de parchado debe ser creado para Android.”

El error que explota el código de Keith se corrigió en Android 2.2, pero de acuerdo a cifras proporcionadas por Google, sólo el 36 por ciento de los usuarios tienen la versión más reciente. Eso significa que el resto son susceptibles al ataque.

Lo que es más, Keith dijo que no tenía problemas para encontrar otras vulnerabilidades documentadas de Webkit que aún no se han corregido en la versión 2.2.

“Encontré unos cuatro o cinco y yo no estaba tratando de [hacer] una búsqueda exhaustiva”, dijo.

Un portavoz de Google declinó hacer comentarios sobre este tema.

Para ser justos, el diseño de Android hace un buen trabajo de separar las funciones de una aplicación de las de otra. Eso haría difícil para alguien que explote la falla que Keith ha demostrado obtener privilegios de root o acceder a muchos de los recursos del teléfono atacado. Pero todavía permitiría a un atacante acceder a cualquier cosa que el navegador pueda leer, incluyendo una tarjeta de memoria Secure Digital del teléfono.

Lo más crítico, Keith dijo, es que la mayoría de los usuarios no tienen idea de que sus dispositivos son vulnerables a errores que se han corregido hace tiempo en otras plataformas.

“Yo quería demostrar que nadie está siendo notificado de que su teléfono Android es vulnerable a estas cosas”, explicó. Google “quiere pretender que el problema no está ahí”.

La aparición de un exploit utilizado por un sitio web para lograr el “jailbreak” del iPhone llevó a los investigadores de seguridad a emitir advertencias sobre la seguridad de los teléfonos inteligentes.

El sitio web, Jailbreakme.com, permite a los usuarios de iPhone y IPAD que visitan el sitio a través de Safari causar el “jailbreak” de sus dispositivos – obtener aplicaciones no autorizadas por Apple – con un simple botón deslizante, dijo Graham Cluley, Senior Technology Consultant de Sophos. El sitio web aprovecha una vulnerabilidad en la forma en que la edición móvil de Safari maneja archivos PDF, dijo.

“Lo que preocupa a mi y a otros en la comunidad de seguridad, sin embargo, es que si simplemente visitando un sitio web con tu iPhone puede ocasionar este “jailbreak”, imagínense qué otra cosa podrían hacer los hackers al explotar esta vulnerabilidad? Los criminales cibernéticos serían capaces de crear páginas web con trampas que podrían – si son visitadas por un usuario desprevenido de iPhone, iPod Touch o IPAD – ejecutar código en los dispositivos sin permiso del usuario, “escribió Cluley en un blog.

VUPEN, una firma de investigación en seguridad de TI, publicó el martes pasado un aviso sobre dos vulnerabilidades en Apple IOS para el iPhone y IPAD que los atacantes podrían explotar para “tomar el control completo de un dispositivo vulnerable.”

Dave Marcus, gerente de investigación de seguridad y comunicaciones de McAfee, dijo que las vulnerabilidades podrían ser utilizadas para otros ataques.

“Esto debe servir como una alerta para cualquier persona con un dispositivo móvil: la explotación remota es real y está aquí para quedarse”, escribió en un blog. “Por ahora, estas vulnerabilidades están siendo utilizadas (hasta donde sabemos) para lograr el “jailbreak” de los iPhones, pero se podría utilizar para hacer muchas otras cosas a los iPhones y a sus propietarios en todo el mundo.”

VANCOUVER, BC – Los hackers aprovecharon unas cuantas vulnerabilidades de día cero el pasado miércoles, explotando rápidamente una falla en el popular iPhone de Apple. Las vulnerabilidades de día cero en Apple Safari 4, Mozilla Firefox y Internet Explorer 8 también fueron explotadas por los investigadores de seguridad durante el concurso Pwn2Own de TippingPoint en la conferencia CanSecWest Applied Security Conference 2010.

El popular concurso Pwn2Own, patrocinado por la “Zero-Day Initiative” de los laboratiorios DVLabs de TippingPoint, repartió 45,000 dólares a los investigadores en su primer día.

Dos investigadores, Vincenzo Iozzo y Raif Weinmann fueron los primeros en hackear un dispositivo móvil, explotando una falla en el navegador Safari de iPhone para ejecutar mensajes SMS desde un servidor Web remoto. Los investigadores, sin embargo, no estaban presentes en la contienda, ya que se retrasó su vuelo para el evento, pero fueron representados en el concurso por el reconocido investigador de seguridad, Halvar Flake. Los dos investigadores ganaron 15,000 dólares por descubrir la vulnerabilidad de día cero.

El investigador Charlie Miller, analista principal de seguridad de Independent Security Evaluators, empresa basada en Baltimore, rápidamente aprovechó una vulnerabilidad en la versión de escritorio de Safari sobre Mac OS X. Ganó 10,000 dólares por el exploit, el cual ataca una de las 20 vulnerabilidades sobre las cuales el investigador tiene previsto hablar durante una presentación en la conferencia. El exploit de Miller abrió un shell remoto, al cual pudo acceder para ejecutar cualquier código malicioso que quisiera.

El investigador dijo que no está contento con los procesos de desarrollo de software seguro de Apple y no planea revelar todas las vulnerabilidades descubiertas ante el fabricante de software, aunque por las reglas del concurso, la vulnerabilidad utilizada en el concurso será compartida con el proveedor. Miller dijo que el descubrimiento de las 20 vulnerabilidades tomó sólo tres semanas y tres computadoras.

“Yo no estoy haciendo nada, mis computadoras están ejecutando y haciendo todo el trabajo”, dijo Miller. “La cantidad de trabajo que hago es de un minuto al día. No debería ser capaz de encontrar huecos haciendo eso. [Apple] debería ser mejor que yo en esto, pero no lo son … me gustaría que fueran mejor”.

Los investigadores hackean IE 8, Mozilla Firefox, eludiendo ASLR, DEP
Otros dos investigadores se unieron a Charlie Miller para eludir tanto Address Space Layout Randomization (ASLR), una característica de seguridad que, si se utilizan adecuadamente, reduce algunos de los ataques que intentan explotar el código en la memoria; y la Data Execution Prevention (DEP), que impide a los atacantes la ejecución de código malicioso en memoria no ejecutable.

Un investigador demostró rápidamente un hueco en IE 8 corriendo sobre Windows 7, eludiendo las tecnologías de mitigación. Peter Vreugdenhil, un investigador de seguridad independiente con sede en los Países Bajos, atacó una vulnerabilidad no especificada, usando una técnica que evade el ASLR. La falla es explotada si un usuario visita un sitio web malicioso. Ganó 10,000 dólares y una computadora portátil por descubrir la vulnerabilidad de día cero.

“Es un archivo basado en HTML que redirige su computadora portátil a mi página web”, Vreugdenhil dijo.

Mozilla Firefox también fue comprometido exitosamente al eludir ASLR y DEP. Un investigador de MWR InfoSecurity, con sede en el Reino Unido, que va por el nombre de Nils, atacó una vulnerabilidad de la memoria, obteniendo un premio de 10,000 dólares en efectivo y una computadora portátil. Nils dijo que creó el exploit en sólo unos días. Ejecutó un proceso que ejecutó la calculadora en una computadora portátil con Windows 7, pero advirtió que pudo haber ejecutado cualquier cosa en su lugar.

“Todos hemos utilizado debilidades, lo que nos permitió provocar la fuga de datos como Peter hizo, o bien otras fallas como en mi caso o el caso de Charlie Miller, que eran debilidades en la aplicación de los mecanismos de protección propiamente dichos”, dijo Nils. “La vulnerabilidad en sí no fue muy complicada, pero vulnerar las mitigaciones de explotación en Windows 7 es la parte difícil y lo que más tiempo toma de escribir el exploit”.

Ilesos salieron Google Chrome 4 ejecutado en Windows 7, así como varios dispositivos móviles. Ningún hacker intentó romper Nexus One de Google, RIM Blackberry Bold 9700 o un dispositivo Nokia E72 con el SO Symbian de Nokia.

La reciente actualización del Apple iPhone OS 3.0 incluye parches para múltiples vulnerabilidades, algunas de ellas con graves consecuencias para la seguridad del dispositivo.

La actualización, que sólo está disponible para su descarga a través de iTunes, abarca un total de 46 vulnerabilidades documentadas, incluyendo varias que permiten ejecución de código malicioso simplemente si un usuario visita un sitio Web o visualiza una imagen manipulada utilizando el navegador.

Según un aviso de Apple, las vulnerabilidades más graves que fueron corregidas se encontraban en CoreGraphics, ImageIO, Mail, Safari y WebKit.

La actualización también corrige problemas de seguridad en IPSec, libxml, el MPEG-4 Video Codec, Perfiles y Telefonía.