Navegadores de Android que no debes usar si no quieres que te roben tus contraseñas. !!Ten cuidado!!

El viernes pasado se publicó un aviso de seguridad relativo a una herramienta llamada AppsGeyser que permite crear aplicaciones a partir de aplicaciones web. La idea es bastante sencilla, automatizar un sistema de flujo a través de las famosasWeb Views que se usan tanto en apps para iOS como para Android. El hacer navegar por la web un usuario dentro de una aplicación móvil usando estas WebViews puede tener riesgos, ya que en ellas es necesario aplicar todas las medidas de seguridad que un WebBrowser de verdad tiene, y muchas veces hemos visto que no es así. En casos como el ejemplo del robo de cuentas de Apple ID aprovechábamos las Web Views de Gmail para iOS para ocultar la URL donde estaba publicado el servidor de phishing.
Figura 1: Cuidado con los Web Browsers que usas en Android
La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web dehttps://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a http://www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones.
Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.
Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminalesAndorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.
Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook
Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APK de las appsque genera, que como podéis ver lleva por nombre BrowserTools.
Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser
Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.
Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play
La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.
Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser
Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.

– MEGA Fast Browser
– Best & Fast Web Browser
– My Personal Browser
– Santini Labs Web Browser
– Suvy Browser
– TheAlwaysBrowser
– Aurora Web Browser
– Internet Access Browser
– STAR WEB BROWSER
– PC Browser Mini
– RSD Browser
– WeBuddy Browser
– IB8 BROWSER – India Browser 8
bTown video,serials & browser

Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.

Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces

Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s