Más de 600 millones de dispositivos Samsung S podrían aprovecharse a ataques cibernéticos, por una falla en la validación de las actualizaciones de paquete de idioma para el teclado SwiftKey.
Más de 600 millones de teléfonos inteligentes Samsung podrían estar expuestos a ataques cibernéticos debido a la presencia de una falla de seguridad en la validación de las actualizaciones del paquete de idioma de SwiftKey. El fallo de seguridad, codificado como CVE-2015-2865, afecta al mecanismo utilizado para añadir nuevos idiomas y la mejora de los ya existentes en los dispositivos móviles del popular proveedor.
El problema de seguridad afecta a varios modelos de dispositivos móviles de Samsung S, incluyendo el Samsung Galaxy S4 Mini, S4, S5 y S6. Según los investigadores de la NowSecure, la actualización se envía al teléfono inteligente a través de HTTP, pero la falta de transferencia de cualquier mecanismo de autenticación que permite a un atacante ejecutar un man-in-the-middle (MitM) con el fin de reemplazar la actualización legítima con un código malicioso. Los atacantes pueden inyectar su carga maliciosa cuando SwiftKey verifica si hay actualización del paquete de idiomas, una circunstancia que se produce cada pocas horas o en el reinicio del dispositivo.
Hack MiTM Samsung S
Otra consideración preocupante está relacionado con el hecho de que las actualizaciones son manejadas por el sistema operativo móvil con privilegios del sistema, esto significa que un atacante puede explotar la falla de adquirir los derechos de un usuario con privilegios e instalar todo tipo de aplicaciones maliciosas sin conocimiento del usuario. Los atacantes pueden hacer mucho más, incluyendo el espionaje de las comunicaciones, los datos de acceso de GPS, robar información confidencial, sensores de acceso a datos y, por supuesto, controlar la cámara y el micrófono.
Los expertos informaron la falla a Samsung en diciembre de 2014 y comenzaron a proporcionar un parche para los operadores móviles a principios de 2015. Como suele ocurrir en estos casos, las diferentes compañías de telefonía móvil tienen diferentes procesos de gestión de parches y no se tiene ninguna información sobre el número equipos que ya han instalado la actualización a sus clientes.
Según los investigadores, los gigantes de Verizon y Sprint aún no se han llevado a cabo la revisión de los teléfonos móviles Samsung Galaxy S6, por su parte de AT & T no ha parcheado el Galaxy S4 Mini y T-Mobile no ha parcheado los dispositivos Galaxy S5.
Los expertos representaron varios escenarios de ataque con el fin de explotar la falla en los dispositivos móviles de Samsung, se puede configurar un puntos de acceso Wi-Fi malicioso o tener acceso a la red local de la víctima. El ataque seria fácil para los atacantes persistentes que son capaces de ejecutar secuestro de DNS, o que puede tener el nivel de acceso de un ISP.
En realidad, la única manera de mitigar el riesgo de exposición es instalar un parche proporcionado por el operador de telefonía móvil porque el teclado Swift está presente en el sistema operativo móvil y no se puede desactivar o desinstalar. Mientras tanto, evitar el uso de redes Wi-Fi publicas o que no son de confianza.
"El teclado Swift viene pre-instalado en los dispositivos de Samsung y no se puede desactivar o desinstalar. Incluso cuando no se utiliza como el teclado por defecto, todavía puede ser explotado. "Afirma el puesto.
NowSecure ha publicado un código de prueba de concepto (PoC) para demostrar la explotación de la vulnerabilidad, por debajo de la PoC Video del ataque:
Más de 600 millones de teléfonos inteligentes Samsung podrían estar expuestos a ataques cibernéticos debido a la presencia de una falla de seguridad en la validación de las actualizaciones del paquete de idioma de SwiftKey. El fallo de seguridad, codificado como CVE-2015-2865, afecta al mecanismo utilizado para añadir nuevos idiomas y la mejora de los ya existentes en los dispositivos móviles del popular proveedor.
El problema de seguridad afecta a varios modelos de dispositivos móviles de Samsung S, incluyendo el Samsung Galaxy S4 Mini, S4, S5 y S6. Según los investigadores de la NowSecure, la actualización se envía al teléfono inteligente a través de HTTP, pero la falta de transferencia de cualquier mecanismo de autenticación que permite a un atacante ejecutar un man-in-the-middle (MitM) con el fin de reemplazar la actualización legítima con un código malicioso. Los atacantes pueden inyectar su carga maliciosa cuando SwiftKey verifica si hay actualización del paquete de idiomas, una circunstancia que se produce cada pocas horas o en el reinicio del dispositivo.
"teléfonos Samsung Galaxy S, incluyendo el S4 Mini, S4, S5 y S6, son pre-instalados con una versión de Teclado SwiftKey que está firmado por Samsung para funcionar con privilegios del sistema. Por diseño, SwiftKey comprueba periódicamente si hay actualizaciones de paquete de idioma a través de HTTP. Al interceptar dichas solicitudes y modificar los campos necesarios, un atacante puede escribir datos arbitrarios a los dispositivos vulnerables. "Afirma los EE.UU. CERT.
Los expertos demostraron que es posible explotar el fallo para ejecutar código arbitrario en el dispositivo de destino sin la interacción del usuario.
Hack MiTM Samsung S
Otra consideración preocupante está relacionado con el hecho de que las actualizaciones son manejadas por el sistema operativo móvil con privilegios del sistema, esto significa que un atacante puede explotar la falla de adquirir los derechos de un usuario con privilegios e instalar todo tipo de aplicaciones maliciosas sin conocimiento del usuario. Los atacantes pueden hacer mucho más, incluyendo el espionaje de las comunicaciones, los datos de acceso de GPS, robar información confidencial, sensores de acceso a datos y, por supuesto, controlar la cámara y el micrófono.
Los expertos informaron la falla a Samsung en diciembre de 2014 y comenzaron a proporcionar un parche para los operadores móviles a principios de 2015. Como suele ocurrir en estos casos, las diferentes compañías de telefonía móvil tienen diferentes procesos de gestión de parches y no se tiene ninguna información sobre el número equipos que ya han instalado la actualización a sus clientes.
Según los investigadores, los gigantes de Verizon y Sprint aún no se han llevado a cabo la revisión de los teléfonos móviles Samsung Galaxy S6, por su parte de AT & T no ha parcheado el Galaxy S4 Mini y T-Mobile no ha parcheado los dispositivos Galaxy S5.
Los expertos representaron varios escenarios de ataque con el fin de explotar la falla en los dispositivos móviles de Samsung, se puede configurar un puntos de acceso Wi-Fi malicioso o tener acceso a la red local de la víctima. El ataque seria fácil para los atacantes persistentes que son capaces de ejecutar secuestro de DNS, o que puede tener el nivel de acceso de un ISP.
En realidad, la única manera de mitigar el riesgo de exposición es instalar un parche proporcionado por el operador de telefonía móvil porque el teclado Swift está presente en el sistema operativo móvil y no se puede desactivar o desinstalar. Mientras tanto, evitar el uso de redes Wi-Fi publicas o que no son de confianza.
"El teclado Swift viene pre-instalado en los dispositivos de Samsung y no se puede desactivar o desinstalar. Incluso cuando no se utiliza como el teclado por defecto, todavía puede ser explotado. "Afirma el puesto.
NowSecure ha publicado un código de prueba de concepto (PoC) para demostrar la explotación de la vulnerabilidad, por debajo de la PoC Video del ataque:
