Los fallos en los SDK de desarrollo de aplicaciones se encuentran a la orden del día y por desgracia cuando se detecta alguno afecta a una gran cantidad de estas. Los responsables de seguridad de Trend Micro alertan sobre vulnerabilidades persistentes después de varios años en la librería libupnp utilizada por una gran cantidad de aplicaciones para dispositivos móviles y smart TVs.
Concretamente se ha utilizado la versión portable de esta librería, utilizada para implementar en una gran cantidad de aplicaciones DLNA y UPnP IGD. Terminales móviles, tabletas o televisores inteligentes utilizan sobre todo la primera de estas dos funciones, permitiendo reproducir contenidos sin la necesidad de que exista una red de área local.
Hay que indicar que las vulnerabilidades a las que hoy hacemos referencia datan del año 2012, y que tras su detección, días más tarde se encontraba disponible una nueva versión de la librería que ponía fin al problema. Sin embargo, se confirman los peores temores de muchos expertos de seguridad: los desarrolladores no actualizan las librerías utilizadas en las aplicaciones.
Tras realizara un análisis en las diferentes tiendas de aplicaciones más conocidas y utilizadas, se han encontrado 547 apps afectadas por este problemas, de las que 326 se encuentran en la Play Store de los dispositivos que utilizan el sistema operativo de Google.
Pero lo más alarmante es que por ejemplo aplicaciones como Netflix o equipos de HiSense están afectadas por estos problemas. Como consecuencia, millones de usuarios se encuentran en pleigro, o menor dicho, sus datos y dispositivos.
Cómo se pueden utilizar los fallos de libupnp y qué consecuencias existen
en primer lugar hay que decir que las vulnerabilidades afectan al tratamiento de los paquetes que forman parte del protocolo SSDP (Simple Service Discovery Protocol), el cual forma parte del estándar UPnP. La utilización de paquetes mal formados y la apertura del puerto UDP 1900 pueden provocar un desbordamiento del buffer. Al paquete se le puede añadir un código que se ejecutará al realizar la operación y que puede permitir en muchos casos tomar el control del dispositivo o instalar software de forma no autorizada, sobre todo si hablamos de ordenadores personales o terminales móviles.
La versión 1.6.17 del SDK de libupnp data del mes de abril del año 2012 y desde entonces se han localizado más de una docena de exploits que hacen uso de esta vulnerabilidad para instalar un keylogger en el dispositivo, con la idea obviamente de proceder al robo de las credenciales de acceso a diferentes servicios.
La existencia de errores en SDKs no resulta nada raro y en RedesZone hemos hablado varias veces sobre este tipo de fallos:
Un fallo en el SDK de Dropbox para Android permite robar los datos del servicio
Un fallo en el SDK de Facebook vulnera la seguridad de iOS y Android
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
