La interfaz gráfica del usuario en aplicaciones para dispositivo móviles siempre ha sido una preocupación para los especialistas en seguridad digital, y hasta el momento no se creía que podría ser explotada por otra aplicación sin privilegios especiales en segundo plano– pero todo indica que eso ha cambiado.
Se trata de un side channel attack (ataque “canal secundario”), que explota la posibilidad de comunicación entre aplicaciones a través de un puerto público que hasta poco tiempo atrás no era conocido. En otras palabras, este ataque no se da con fuerza bruta ni explotando vulnerabilidades.
Este nuevo ataque ha sido nombrado UI state inference attack (Ataque por inferencia a la interfaz del usuario), se trata de una técnica que se aprovecha del hecho que las interfaces de las aplicaciones más populares para dispositivos móviles revelan cada cambio de estado, es decir, cada paso (iniciar aplicación, ingresar usuario y contraseña, ingresar datos de tarjeta de crédito, entre otras) es visible y puede ser interceptado por estas aplicaciones espías.
El ataque es iniciado cuando un usuario baja una aplicación que parece ser legítima y que no pide privilegios especiales. Una vez instalada, el atacante (a través de un dispositivo móvil) puede observar el momento en que la víctima inicia una aplicación específica (Internet Banking, sitios de compra, cámara de fotos, entre otras), y también cuando ingresa datos personales, los datos de entrega del producto comprado y/o cualquier información solicitada por las aplicaciones.
En el siguiente video (en inglés), es posible ver tres ataques a distintas aplicaciones, una de un sitio de compras online, una que roba datos personales y una más que consigue interceptar fotos sacadas por la cámara de la víctima:
Esta prueba de concepto resultó obtener una tasa de éxito que varía entre un 82% y un 92% en las aplicaciones testeadas (6 de cada 7 aplicaciones para Android), aunque algunas probaron ser más robustas y difíciles de penetrar.
Zhiyun Qian, del Departamento de Ciencias e Ingeniería de la Computación de la Universidad de California (UC Riverside, EE.UU), que forma parte del grupo de investigadores que descubrieron la brecha y desarrollaron la prueba de concepto, afirma: “Siempre se supuso que aplicaciones no podrían interferir fácilmente con otras aplicaciones” y agrega “Demostramos que esta suposición no es correcta y que una aplicación de hecho tiene la habilidad de impactar otra de forma significativa y causar consecuencias dañinas a los usuarios”.
Según Qian, en este momento la mejor forma de protegerse de este nuevo UI state inference es no descargar aplicaciones si no estás seguro que se trata de una aplicación 100% segura y necesaria. Es por eso que siempre es importante descargar aplicación desde repositorios oficiales o desde el sitio web de fabricantes confiables.
Por último, desde el Laboratorio de Investigación de ESET Latinoamérica les recomendamos la lectura de la Guía de seguridad en Android en donde podrán conocer los principales tipos de amenazas para esta plataforma y los mejores modos de protegerse.