02 de mayo de 2024Sala de prensaVulnerabilidad/Android Varias aplicaciones populares de Android disponibles en Google Play Store son susceptibles a una vulnerabilidad asociada al recorrido de ruta que podría ser aprovechada por una aplicación maliciosa para sobrescribir archivos arbitrarios en el directorio de inicio de la aplicación vulnerable. «Las implicaciones de este patrón de vulnerabilidad incluyen la ejecución de código arbitrario y el robo de tokens, dependiendo de la implementación de una aplicación», dijo Dimitrios Valsamaras del equipo Microsoft Threat Intelligence en un informe publicado el miércoles. Una explotación exitosa podría permitir a un atacante tomar control total del comportamiento de la aplicación y aprovechar los tokens robados para obtener acceso no autorizado a las cuentas en línea y otros datos de la víctima. Dos de las aplicaciones que se encontraron vulnerables al problema son las siguientes: Xiaomi File Manager (com.mi. Android.globalFileexplorer) – Más de mil millones de instalaciones WPS Office (cn.wps.moffice_eng) – Más de 500 millones de instalaciones Mientras Android implementa el aislamiento Al asignar a cada aplicación sus propios datos y espacio de memoria dedicados, ofrece lo que se llama un proveedor de contenido para facilitar el intercambio de datos y archivos entre aplicaciones de forma segura. Pero los descuidos de la implementación podrían permitir eludir las restricciones de lectura/escritura dentro del directorio de inicio de una aplicación. «Este modelo basado en proveedor de contenido proporciona un mecanismo de intercambio de archivos bien definido, permitiendo que una aplicación de servicio comparta sus archivos con otras aplicaciones de manera segura con un control detallado», dijo Valsamaras. «Sin embargo, nos hemos encontrado con frecuencia con casos en los que la aplicación consumidora no valida el contenido del archivo que recibe y, lo más preocupante, utiliza el nombre de archivo proporcionado por la aplicación servidora para almacenar en caché el archivo recibido dentro del directorio de datos interno de la aplicación consumidora. «. Este error puede tener consecuencias graves cuando una aplicación servidora declara una versión maliciosa de la clase FileProvider para permitir el intercambio de archivos entre aplicaciones y, en última instancia, hacer que la aplicación consumidora sobrescriba archivos críticos en su espacio de datos privado. Dicho de otra manera, el mecanismo aprovecha el hecho de que la aplicación consumidora confía ciegamente en la entrada para enviar cargas útiles arbitrarias con un nombre de archivo específico mediante una intención explícita y personalizada y sin el conocimiento o consentimiento del usuario, lo que lleva a la ejecución del código. Como resultado, esto podría permitir a un atacante sobrescribir el archivo de preferencias compartidas de la aplicación de destino y hacer que se comunique con un servidor bajo su control para filtrar información confidencial. Otro escenario involucra aplicaciones que cargan bibliotecas nativas desde su propio directorio de datos (en lugar de «/data/app-lib»), en cuyo caso una aplicación maliciosa podría aprovechar la debilidad antes mencionada para sobrescribir una biblioteca nativa con código malicioso que se ejecuta cuando el La biblioteca está cargada. Tras una divulgación responsable, tanto Xiaomi como WPS Office rectificaron el problema en febrero de 2024. Sin embargo, Microsoft dijo que el problema podría ser más frecuente y requeriría que los desarrolladores tomen medidas para verificar sus aplicaciones en busca de problemas similares. Google también ha publicado su propia guía al respecto, instando a los desarrolladores a manejar adecuadamente el nombre de archivo proporcionado por la aplicación del servidor. «Cuando la aplicación cliente escribe el archivo recibido en el almacenamiento, debe ignorar el nombre de archivo proporcionado por la aplicación del servidor y en su lugar utilizar su propio identificador único generado internamente como nombre de archivo», dijo Google. «Si generar un nombre de archivo único no es práctico, la aplicación cliente debe desinfectar el nombre de archivo proporcionado». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.