Nueva vulnerabilidad NFC afecta a Android 7, 8 Y 9; Google no corregirá esta falla

Especialistas en análisis de vulnerabilidades reportan el hallazgo de una nueva falla de seguridad en múltiples versiones de Android (reporte completo aquí). Por defecto, ninguna aplicación de Android puede realizar operaciones que impacten de forma negativa en otras apps, en el sistema operativo o el usuario, por lo que actividades como leer o escribir en datos privados, acceder a los archivos de otra app, mantener el dispositivo despierto, entre otras, se encuentran restringidas.

En el informe, los expertos describen una vulnerabilidad en la app Tags, preinstalada en el sistema operativo Android y que se encarga de leer las etiquetas Near Field Communication (NFC), además de su análisis y reenvío de resultados. La vulnerabilidad, identificada como CVE-2019-9295, permitiría a cualquier app no autorizada engañar a Tags para hacerse pasar por una nueva etiqueta NFC, lo cual sería de gran utilidad en múltiples escenarios de ataque.

Esta no es considerada una vulnerabilidad crítica, no obstante, los expertos en análisis de vulnerabilidades consideran que los usuarios de Android, en especial aquellos que no utilizan la versión 10, deben estar consientes de este riesgo de seguridad, pues podría producir errores más severos en el futuro. En un comunicado, Google especificó que la vulnerabilidad sólo fue corregida en Android 10, por lo que la solución no es compatible con versiones anteriores.

Esta vulnerabilidad permite que una aplicación maliciosa simule la recepción de una etiqueta NFC, además de que puede simular cualquier tipo de etiquetas, como registros NDE. La desventaja para los hackers es que se requiere la interacción del usuario para desencadenar los diferentes escenarios de ataque.

En el informe se plantean dos escenarios de ataque principales:

  • Una ventana emergente que podría aparecer de forma aleatoria, alertando al usuario sobre el escaneo de una nueva etiqueta NFC (generada por una aplicación maliciosa). El usuario tendría que interactuar con esta ventana emergente para elegir una app que se encargue de esta notificación
  • El usuario objetivo escanea una app real. De este modo, la app maliciosa podría interceptar y cambiar el contenido de la etiqueta antes de que sea administrada por la aplicación predeterminada por el sistema operativo. Por ejemplo, un usuario podría escanear una etiqueta de una compañía que contenga un número telefónico; durante el proceso, la app no autorizada cambiará el número telefónico en la etiqueta original sin que el usuario note algún indicio de actividad anómala.

Acorde a los expertos en análisis de vulnerabilidades, cualquiera de los escenarios requiere que los usuarios sean engañados para hacer clic en un enlace que los redirija a una página controlada por los atacantes, les entregue un número erróneo o cualquier otra actividad que sea realizable con etiquetas NFC. Es importante resaltar que, a pesar de que la vulnerabilidad permite falsificar cualquier etiqueta NFC, la necesidad de interacción del usuario reduce su impacto considerablemente.

Los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la actualización de Android 10 que corrige esta falla fue lazada hace aproximadamente un mes. No obstante, muchos dispositivos aún no han implementado la actualización del sistema operativo. Además, la Google ya ha anunciado que la vulnerabilidad no será corregida en versiones anteriores del sistema operativo, por lo que sólo se recomienda precaución a los usuarios y desarrolladores.