Depurador de fábrica sirve como puerta trasera de Android

Share this…

Un depurador de fábrica olvidado en el firmware de Android, construido por el fabricante taiwanés Foxconn, puede ser convertido en una puerta trasera para un atacante que tenga posesión física del dispositivo.

La situación es un sueño para quienes hacen cumplir la ley o para un equipo forense deseando obtener privilegios en un dispositivo. Jon Sawyer, un investigador de Android, dio a conocer esta situación en una entrada de su sitio, que la ha llamado Pork Explosion. Él considera que este golpe es una vulnerabilidad sobrevalorada y de “marca”.

“Como una amenaza física, es mala; fin del juego”, Apunta Sawyer. “Es fácil de hacer y puedes ejecutar código a placer en el dispositivo, incluso si está cifrado o bloqueado. Es exactamente lo que una compañía forense o los que hacen cumplir la ley amarían tener”.

pig_explosion

La puerta trasera fue encontrada en un gestor de arranque construido por Foxconn, apuntó Sawyer. Foxconn construye teléfonos y software de bajo nivel para los firmwares. Hasta el momento dos marcas de dispositivos han sido afectadas, los teléfonos M810 de InFocus y Robin de Nextbit, pero Sawyer advirtió que hay más afectados.

Un atacante con acceso al dispositivo se puede conectar vía USB, ejecutar comandos y obtener una consola de comandos con privilegios del usuario root (acceso total al sistema) con SELinux deshabilitado y sin la necesidad de autenticarse en el dispositivo. Esto abre la puerta no solo a la extracción de datos protegidos por contraseña o cifrados, sino también a ataques de fuerza bruta contra llaves de cifrado o desbloquear un bootloader sin restablecer los datos del usuario.

Sawyer publicó una línea de tiempo que empieza por la fecha de su descubrimiento el 31 de agosto, ese mismo día avisó a Mike Chan, CTO de Nextbit, del problema e intento avisar también al grupo de seguridad de Android y la Iniciativa de Seguridad de Producto de Qualcomm, para que informaran a Foxconn del problema. Sawyer dijo no tener éxito en contactar a Foxconn en el pasado con otro tipo de problemas y esta vez tampoco fue diferente. Mientras tanto Nexbit publicó una actualización para sus dispositivos un día antes de Sawyer diera a conocer el problema.

“Acudí a Goolge y Qualcomm porque sus equipos de seguridad tienen mejor relación con Foxconn”, dijo Sawyer. “Pero en lo que a mi concierne, no ha habido respuesta alguna de Foxconn”.

Sawyer comenta que el exploit es relativamente simple.

“Tú solamente conectas un USB a tu computadora y ejecutas un programa, cinco segundos después, tu estas frente a un dispositivo comprometido”, dijo Sawyer. “Tú tienes root y no SElinux, el cual está desactivado en modo boot. De repente volvemos al 2011. Fin del juego”.

Sawyer explico que encontró esta falla en un depurador olvidado, mientras examinaba el gestor de arranque de un teléfono marca Robin, el cual está desarrollado con el código del gestor de arranque de Qualcomm Ik y personalizado por Foxconn. Apuntó que un comando de inicio rápido o fastboot parecía “fuera de lugar”. Fastboot es una utilería y un protocolo usado para comunicarse con el gestor de arranque, y para quemar el firmware. Viene incluido en el SDK de Android y los dispositivos pueden iniciarse en este modo mediante USB para poder reescribir particiones o imágenes del sistema de archivos en un dispositivo. Swayer dijo que construyó un cliente personalizado que soportaba un comando de reinicio que pusiera el dispositivo en modo prueba de fábrica. En este modo, dijo que el puente de depuración de Android (ADB) corre con privilegios de root y con SElinux deshabilitado, permitiendo a un extraño comprometer el dispositivo, evadiendo controles de autenticación.

Sqwyer dijo que todos los fabricantes usan este modo de prueba de fábrica, pero no deben tenerlo en los productos de producción.

Mientras tanto esperara poder continuar publicando vulnerabilidades de “marca”.

“Acabamos de ver Quadrooter, que fueron cuatro grandes vulnerabilidades, que recibió mucha atención de los medios para ser algo como otra vulnerabilidad de kernel”, dijo Sawyer. “No fue nada especial y esto tampoco lo es. Esto solo pasa. Las vulnerabilidades merecen atención y deben ser reparadas, pero no merecen que firmas de relaciones públicas las exploten. Solo asustan al cliente”.

Fuente:https://www.seguridad.unam.mx/