{"id":13077,"date":"2017-06-02T07:43:53","date_gmt":"2017-06-02T07:43:53","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=13077"},"modified":"2019-11-22T11:12:51","modified_gmt":"2019-11-22T09:12:51","slug":"cloak-and-dagger-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/cloak-and-dagger-attack\/13077\/","title":{"rendered":"Cloak and Dagger: un agujero en todas las versiones de Android"},"content":{"rendered":"

Esto no es un simulacro. Sucede con todas las versiones de Android y, en el momento de la publicaci\u00f3n de este texto, Google todav\u00eda no ha parcheado la vulnerabilidad mediante la que los delincuentes pueden robar datos (como contrase\u00f1as), instalar aplicaciones con todos los permisos<\/a> y vigilar si el usuario interact\u00faa o escribe con cualquier smartphone<\/i> o tablet Android. Repetimos: Esto no es un simulacro.<\/p>\n

El ataque, bautizado como Cloak and Dagger, lo demostraron los empleados del Instituto de Tecnolog\u00eda de Georgia y de la Universidad de California del campus de Santa B\u00e1rbara. Le comunicaron el problema a Google en tres ocasiones, pero en cada una de ellas, este contest\u00f3 diciendo que todo funcionaba como deb\u00eda funcionar. A los investigadores no los qued\u00f3 m\u00e1s remedio que publicar sus hallazgos: crearon una p\u00e1gina web, cloak-and-dagger.org, para ello.<\/p>\n

La esencia de Cloak and Dagger<\/h2>\n

En pocas palabras, el ataque utiliza una aplicaci\u00f3n de Google Play. Aunque esta no pida permisos espec\u00edficos al usuario, los delincuentes obtienen los derechos para mostrar la interfaz de la aplicaci\u00f3n por encima de otras aplicaciones, bloque\u00e1ndolas visualmente, y para hacer clic en botones en nombre del usuario de modo que este no se d\u00e9 cuenta de nada sospechoso.<\/p>\n

El ataque es posible porque a los usuarios no se les solicita expl\u00edcitamente que permitan a las aplicaciones acceder a las funciones de SYSTEM_ALERT_WINDOW al instalar aplicaciones desde Google Play, y el permiso para acceder a ACCESSIBILITY_SERVICE (A11Y) es f\u00e1cil de obtener.<\/p>\n

\u00bfQu\u00e9 son esa clase de permisos? El primero permite a una aplicaci\u00f3n ocupar la interfaz de cualquier otra y, el segundo, da acceso a una serie de funciones (de accesibilidad) pensadas para personas con problemas auditivos o de visi\u00f3n. El \u00faltimo puede hacer cosas muy diferentes, incluso peligrosas, en un dispositivo, al permitir a una aplicaci\u00f3n vigilar lo que sucede en otras aplicaciones e interactuar con ellas en nombre del usuario.<\/p>\n

\u00bfQu\u00e9 podr\u00eda ir mal?<\/p>\n

Una capa invisible<\/h3>\n

Los ataques que hacen uso del primer permiso, SYSTEM_ALERT_WINDOW, se superponen a otra aplicaci\u00f3n con su propia interfaz sin que el usuario lo detecte. Es m\u00e1s, las ventanas que muestran pueden tener cualquier forma (hasta con agujeros). Tambi\u00e9n pueden registrar las acciones que realice el usuario o dejarlo estar para que la aplicaci\u00f3n de debajo lo registre.<\/p>\n

Por ejemplo, los desarrolladores maliciosos pueden crear una capa transparente que se superponga al teclado de un dispositivo Android y capture todo lo que se haga al deslizar el dedo por la pantalla. Al registrar la posici\u00f3n donde el usuario toc\u00f3 la pantalla y la posici\u00f3n de los caracteres en el teclado, el atacante puede saber qu\u00e9 est\u00e1 escribiendo exactamente el usuario en el teclado. Los programas maliciosos de ese tipo se llaman keyloggers<\/i><\/a>. Este es uno de los ejemplos por el que los investigadores decidieron demostrar el ataque.<\/p>\n