Los dispositivos móviles están en el punto de mira de los ciberdelincuentes por la cantidad de usuarios que cada día descargar millones de aplicaciones.  Recientemente, el equipo de Microsoft Threat Intelligence ha descubierto una vulnerabilidad crítica en varias aplicaciones populares de Android disponibles en Google Play Store, afectando a programas con descargas que suman miles de millones.

Este fallo, denominado «Dirty Stream Flaw», involucra una vulnerabilidad de tipo path traversal que podría permitir la ejecución arbitraria de código y el robo de tokens de autenticación, dependiendo de la implementación específica de la aplicación.

La vulnerabilidad se origina en la clase Android FileProvider, que es una subclase de ContentProvider utilizada para facilitar el intercambio o selección de archivos entre diferentes aplicaciones, manteniendo un aislamiento seguro entre ellas. Una ejecución correcta debería proporcionar una solución fiable para compartir archivos, pero una ejecución inadecuada podría ser explotada para evitar las restricciones típicas de lectura/escritura o sobrescribir archivos críticos dentro de Android.

Entre las aplicaciones potencialmente vulnerables, que en conjunto suman más de 4 mil millones de descargas, se encuentran el «Xiaomi File Manager» (com.mi.Android.globalFileexplorer) con mil millones de descargas y «WPS Office» (cn.wps.moffice_eng) con más de 500 millones. Ambas aplicaciones fueron identificadas como ejemplos destacados de esta vulnerabilidad.

Respuesta al fallo y medidas de prevención

Una vez identificada la vulnerabilidad, los equipos de seguridad de Xiaomi y WPS Office fueron notificados por los investigadores de esta brecha. Ambos equipos desplegaron actualizaciones en febrero de 2024, con Xiaomi publicando la versión V1-210593 de su aplicación de gestión de archivos y WPS Office lanzando la versión 17.0.0.

Los usuarios de estas aplicaciones se aconsejan mantener sus dispositivos y aplicaciones instaladas actualizadas para protegerse contra posibles explotaciones de esta vulnerabilidad. La actualización a las últimas versiones de las aplicaciones garantiza que se implementen las correcciones necesarias para mitigar cualquier riesgo asociado.

Consecuencias de la explotación del fallo

Si se explota con éxito, «Dirty Stream Flaw» podría permitir a un atacante sobrescribir el archivo de configuración de la aplicación objetivo y obligarla a comunicarse con un servidor controlado por el atacante. Esto podría conducir a la exfiltración de información sensible y la ejecución de comandos arbitrarios.

Los investigadores detrás del descubrimiento colaboraron con Google para publicar una guía oficial en el sitio web de Android Developers. Google ha mostrado su agradecimiento por la colaboración en la seguridad de las aplicaciones Android, enfatizando la importancia de manejar adecuadamente los nombres de archivo proporcionados por las aplicaciones servidoras. Además, sugiere realizar controles de saneamiento si no es posible usar un identificador de nombre de archivo generado internamente.

Tres razones importantes por las que los fallos pueden ser aprovechados por los ciberdelincuentes

Los fallos en aplicaciones pueden ser aprovechados por los ciberdelincuentes por varias razones significativas, entre las cuales destacan:

  1. Acceso a información confidencial: Muchas aplicaciones manejan datos personales y confidenciales, como información financiera, datos de salud, detalles de identificación personal y credenciales de acceso. Un fallo en una aplicación puede permitir a un ciberdelincuente explotar estas vulnerabilidades para robar esa información, lo que podría ser utilizado para cometer fraudes, robo de identidad, o incluso chantaje.
  2. Control y manipulación de la aplicación: Un fallo puede permitir a un atacante ejecutar código arbitrario dentro de la aplicación afectada. Esto puede resultar en la modificación de la funcionalidad de la aplicación, permitiendo al atacante realizar acciones en nombre del usuario sin su consentimiento, alterar o borrar datos, o incluso utilizar la aplicación como un punto de entrada para lanzar ataques más amplios dentro de una red corporativa.
  3. Daño a la reputación y pérdida de confianza: El aprovechamiento de fallos en aplicaciones puede conducir a incidentes de seguridad visibles que afecten negativamente la reputación de la empresa desarrolladora. Esto puede traducirse en una pérdida de confianza por parte de los usuarios, lo que a menudo resulta en una disminución de los usuarios activos y, potencialmente, pérdidas económicas significativas debido a la disminución de ventas y la posible legalidad y sanciones regulatorias.

 

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre