Sin parche para la omisión de la política del mismo origen (SOP) en dispositivos Android antiguos

Por: zuk avraham y Rachel Ackerley

¿Google está abandonando a sus clientes?

intitulado


Un cambio de política reciente en Google para dejar de producir actualizaciones de seguridad para Android 4.3 o anterior podría poner en peligro a aproximadamente 930 millones de usuarios de Android. Esto se traduce en aproximadamente el 60% de todos los usuarios de Android, muchos de los cuales nunca se darían cuenta de que estaban expuestos o vulnerables en primer lugar. ¿Qué significa esto para las empresas de todo el mundo que implementan amplios programas BYOD basados ​​en que los empleados elijan y paguen por sus propios dispositivos móviles?

Esta gran noticia para los piratas informáticos, malas noticias para los consumidores y posiblemente peores noticias para las empresas, no fue anunciada por Google, sino descubierta y compartida por los investigadores de seguridad Tod Beardsley y Joe Vennix de la firma Rapid7. Cuando los investigadores de seguridad notificaron a Google sobre las vulnerabilidades de Android sin parchear, se sorprendieron al enterarse del cambio de política.

Según Google, “Si la versión afectada [of WebView] es anterior a la 4.4, por lo general no desarrollamos los parches nosotros mismos, pero agradecemos los parches con el informe para su consideración…” acompañado de un parche.”

Google ha decidido corregir solo los errores encontrados en las dos versiones más recientes de Android conocidas como Kitkat (4.4) y Lollipop (5.0).

¿Qué es la Vulnerabilidad?

Los investigadores de Rapid7 han superado con éxito la Política del mismo origen de WebView en Android Jelly Bean, versiones 4.0-4.3 y anteriores. WebView es el componente utilizado para representar sitios web en dispositivos Android. Esto podría ser solo la punta del iceberg para los usuarios de Android desprevenidos. Las implicaciones para los usuarios que traen estos dispositivos desprotegidos a sus oficinas y redes corporativas son alarmantes.

Navegador predeterminado de Android
Rafay Baloch, un investigador de seguridad independiente compartió con Zimperium, “La decisión de Google de no parchear los errores de seguridad críticos (anteriores a KitKat) sin duda afectaría a la gran mayoría de los usuarios. Las empresas de seguridad ya están viendo ataques en la naturaleza donde los usuarios están abusando Error de omisión de la política del mismo origen (SOP) para dirigirse a los usuarios de Facebook.”

¿Qué es el Impacto?
Los empleados utilizan dispositivos móviles para acceder a los sistemas organizacionales y las aplicaciones comerciales críticas tanto dentro como fuera de la red corporativa. Estos sistemas contienen datos confidenciales que, si se exponen, podrían provocar violaciones de la seguridad de los datos y pérdidas de ingresos para una organización. Un dispositivo Android que ejecuta 4.3 o anterior puede manipularse fácilmente para eludir la política del mismo origen y permite a los piratas informáticos acceder a datos confidenciales de sitios web y servicios en los que el usuario ya ha iniciado sesión.

Según el fundador, presidente y CTO de Zimperium, zuk avrahamPolítica del mismo origen Las vulnerabilidades de omisión pueden activarse durante un ataque Man-In-The-Middle o phishing. El ataque se ejecuta en un iframe oculto y puede utilizar cualquier tráfico no cifrado para leer el contenido del tráfico cifrado, después de descifrarlo en el navegador de la víctima. Este proceso esencialmente hace que SSL sea inútil en los servicios en los que los usuarios desprevenidos están conectados”.

SOP protege los sitios web que no están en el mismo protocolo, puerto y dominio para leer el contenido de otros sitios web. Al eludir con éxito SOP, un atacante puede ejecutar código HTML en el navegador de un usuario (a través de MITM/phishing) y leer el contenido de cualquier sitio web en el que el usuario haya iniciado sesión, incluso si el sitio web está ejecutando un protocolo diferente (https vs. http ), puerto (443 frente a 80) o dominio.

Este cambio de política por parte de Google hace que los OEM tengan la responsabilidad de identificar y entregar actualizaciones de seguridad para proteger a sus usuarios. Luego, depende de los OEM parchear sus respectivos dispositivos y asegurarse de que los operadores entreguen las actualizaciones OTA. La pregunta es qué nivel de seguimiento y seguridad deben esperar los usuarios que ejecutan versiones anteriores de Android. ¿De quién es la responsabilidad de notificar al usuario final que probablemente nunca piense en la seguridad de su teléfono a menos que deje de funcionar correctamente?

Verizon, AT&T, Sprint-Nextel y T-Mobile también han sido criticados por su renuencia a parchear las vulnerabilidades de Android. La denuncia solicitaba a la FTC que obligara a los operadores a advertir a los usuarios sobre las vulnerabilidades no reparadas y les diera a los clientes la opción de abandonar sus contratos con los operadores en tales casos, sin sanciones.

Dado que cada vez se utilizan más dispositivos personales en el lugar de trabajo, es solo cuestión de tiempo antes de que esta simple decisión de soporte de Google afecte a las empresas de todo el mundo. La realidad es que la mayoría de esos 930 millones de usuarios probablemente ni siquiera saben que están expuestos y cada ataque MITM o enlace que abren los expone a la vulnerabilidad de omisión de SOP, lo que plantea la pregunta: ¿quién está prestando atención? Para mitigar los riesgos de seguridad empresarial, los administradores de seguridad de TI deben equilibrar la habilitación de los empleados con el control de TI que brinda protección continua para los dispositivos móviles contra amenazas conocidas y desconocidas. Los clientes de Zimperium Mobile Threat Defense son inmunes a esta amenaza en la red pública, independientemente de la versión de Android del dispositivo.

Seguridad móvil empresarial

Zimperium ofrece protección de clase empresarial para dispositivos móviles contra la próxima generación de ataques móviles avanzados. Zimperium es la primera y única empresa que proporciona una completa Seguridad móvil sistema que se ejecuta continuamente en el dispositivo para brindar visibilidad, seguridad y administración para dispositivos iOS y Android. Con su enfoque no intrusivo, los usuarios pueden estar seguros de que sus datos y su privacidad están protegidos en todo momento, tanto dentro como fuera de la red corporativa.

Deja un comentario