Cuando os comenté las razones por las que debéis de procurar tener la última versión de Android instalada en vuestro dispositivo, os cité la seguridad, y como ejemplo utilicé el reciente CVE-2014-6041: una vulnerabilidad del navegador que se encuentra en cualquier versión que no sea 4.4 KitKat, y que supone una fallo de privacidad brutal.
¿Que por qué volvemos a hablar de ese fallo de seguridad, cuando ya lo habíamos hecho anteriormente? La razón es simple: el fallo llega mucho más allá de lo que pensábamos, y un atacante puede aprovechar la vulnerabilidad para formar toda una botnet de dispositivos Android. En otras palabras, nuestro Android pasaría a ser un zombie a merced del atacante.
Antes de describir todo, tenemos que pararnos un momento para dar el crédito correspondiente a Miguel Ángel García: ha sido el desarrollador quien ha estado jugando con la vulnerabilidad y ha descubierto lo que se puede hacer con ella. Además ya hemos hablado de otros descubrimientos que han hecho desde Un informático en el lado del mal, así que desde aquí les damos las gracias por su enorme trabajo.
En todo caso, hoy hemos venido aquí a hablar de seguridad, y a contaros de qué es capaz un atacante cuando utiliza esta vulnerabilidad. Para que os pongáis en situación, el problema se sitúa en el navegador web AOSP, y más concretamente en el SOP (Same-Origin Policy), una pieza del navegador que limita cuándo se puede cargar o ejecutar código que sea de un origen diferente a la web en la que estamos.
El problema en concreto es que, con sólo incluir un byte nulo en el código a ejecutar, ya nos podemos saltar la protección de la que se encarga el SOP. Y si accedemos a una página que contenga este byte nulo, la página (y por ende, el atacante) podrá ejecutar el código que quiera en nuestro Android, sin llegar a pasar en ningún momento por esa medida de seguridad.
Esto tiene muchos usos para el atacante: extraer información tanto del contenido HTML como del usuario, enviar formularios sin autorización, extraer nuestras cookies de la sesión (algo llamado session hijacking) para utilizar nuestras cuentas sin necesidad de la contraseña… todos los fallos de privacidad que os comentamos la última vez, en resumen. Pero lo peor es que, con una facilidad casi pasmosa, se puede convertir nuestro dispositivo Android en un zombie.
¿Y cómo convierten a mi Android en un zombie, os preguntaréis? Es bastante sencillo: con una campaña de spam, los usuarios de una versión vulnerable de Android acceden a una página web que parece normal, pero que está diseñada para aprovecharse de esa vulnerabilidad. Y la página cuenta con un script BeEF que hará pasar nuestro Android a una JavaScript Botnet, una red de dispositivos Android a completa disposición del atacante (podéis ver cómo funciona un ataque con este sistema aquí).
Los consejos que os podemos dar desde aquí son los de siempre: no utilizar el navegador AOSP o navegadores web basados en AOSP, y precaución al entrar a páginas web desconocidas, más si se encuentran detrás de un acortador de enlaces. De todas formas, y hasta que se solucione el problema, parece que las sorpresas en ese sentido seguirán llegando.