Español

Ataque subrepticio mediante la memoria compartida de los teléfonos inteligentes

El ataque demostrado por el equipo puede robar de los sistemas Android información delicada del usuario, pero los sistemas operativos iOS y Windows tienen las mismas debilidades. Crédito por la imagen: Universidad de California, Riverside.

ANN ARBOR, Michign.— Una debilidad que, se cree, existe en los sistemas operativos Android, Windows e iOS podría usarse para obtener información personal de los usuarios inadvertidos, según ha mostrado una investigación de la Universidad de Michigan. El equipo demostró la intrusión en un teléfono Android.

El método fue eficaz entre el 82 por ciento y el 92 por ciento de las veces en seis de las siete aplicaciones (apps) que los investigadores probaron. Entre quienes fue fácil realizar la intrusión se cuentan Gmail, Chase Bank y H&R Block.

La “piratería” es particularmente peligrosa porque permite que los atacantes elijan cuando presentan al usuario con una pantalla falsa  en el momento en que el usuario espera ingresar datos delicados.

“Sabemos que el usuario está en la aplicación del banco, y cuando él o ella está a punto de ingresar inyectamos una pantalla de ingreso idéntica”, dijo Qi Alfred Chen, un estudiante de doctorado en ingeniería eléctrica y ciencias de computación en la UM. “No hay una brecha porque aprovechamos ese momento, esa oportunidad”.

Chen, quien trabaja bajo la mentoría de Zhouqing Morley Mao, profesor asociado de ingeniería eléctrica y ciencias de computación en la UM, presentará la investigación el viernes 22 de agosto en el Vigésimotercer Simposicio USENIX de Seguridad en San Diego, California.

Chen, Mao y el coautor Zhiyun Qian, profesor asistente en la Universidad de California, en Riverside, creen que su método funcionará con los otros sistemas operativos en los cuales las aplicaciones pueden acceder libremente a la memoria compartida del teléfono. Esta característica permite que los procesos compartan eficientemente los datos, pero también permite que los programas maliciosos (malware) rastreen el comportamiento del usuario. Aún si se bloquea ese canal, Chen cree que se pueden aprovechar otras conexiones para lograr el mismo fin.

“La presunción siempre ha sido que estas aplicaciones no pueden interferir fácilmente unas con otras”, dijo Qian, graduado recientemente con un doctorado en el grupo de Mao. “Nosotros mostramos que la presunción está equivocada, y una aplicación puede impactar significativamente otra y el resultado son consecuencias dañinas para el usuario”.

El ataque comienza cuando un usuario descarga una aplicación aparentemente benigna que controla, por ejemplo, la portada (wallpaper) del teléfono. Cuando esa aplicación opera en el trasfondo los atacantes pueden acceder a la memoria compartida sin que tengan privilegios de acceso especiales.

Los investigadores observaron los cambios en la memoria compartida y los cambios correlacionados a lo que ellos llaman “eventos de transición de actividad”. Estos incluyen el ingreso en un servicio o la toma de fotografía de un cheque para depositarlo por vía de internet. Con el agregado de otros pocos canales laterales el equipo pudo rastrear con precisión bastante buena la actividad del usuario en tiempo real.

Chen indicó que las imágenes de cheques presentan un riesgo particular. “Un ataque de espionaje por cámara puede robarle el número de cuenta, la dirección de su casa y aún su firma”, añadió.

Los investigadores crearon tres videos cortos que muestran cómo los ataques pueden robar la información de acceso y el número de Seguro Social de H&R Block, imágenes de cheques del banco Chase, y detalles de tarjetas de crédito de Newegg. Pueden verse en http://bit.ly/1ByiCd3.

De las siete aplicaciones probadas la de Amazon fue la que dio más problemas al equipo, con una tasa de éxito del 48 por ciento de los ataques. Éste es un accidente de la flexibilidad de la aplicación, ya que permite que una actividad transite a casi cualquier otra actividad lo cual incrementa la dificulta de adivinar qué hará el usuario a continuación.

Cuando se le preguntó qué puede hacer el usuario de un teléfono inteligente ante esta situación Quian dijo: “No instale aplicaciones en las cuales no pueda confiar”.

Chen agregó que los usuarios también deberían ser cautelosos acerca de la información de acceso que piden las aplicaciones cuando se las instala. Es peligroso permitir el acceso al estado de interface del usuario, que es el canal que el equipo usó para determinar el momento de sus ataques.

En cuanto al diseño del sistema operativo, es necesario que se haga en el futuro un balance más cuidadoso entre la seguridad y la funcionalidad, dijo Qian. Por ejemplo, es necesario eliminar, o regular de manera más explícita, los canales secundarios.

El articulo se titula “Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks”.

Este artículo se prepare en colaboración con Sean Nealon en la Universidad de  California, Riverside.