La idea consiste en automatizar un mismo proceso sobre muchos elementos diferentes, obteniendo así mucha información en la que poder grepear y llevarte sorpresas. En este escenario, los elementos son las aplicaciones APK y el proceso es la herramienta apktool.

Etapa 1. Descargando aplicaciones

El sitio más usual para descargar APKs sería el propio Market oficial, pero también hay sitios como http://www.malwaredump.com/ que pueden resultar muy interesantes para este experimento.

Yo encontré freewarelovers.com con Google, y aún sin saber muy bien que tipo de aplicaciones me encontraría, decidí apostar por él. Saqué el patrón para descargar todas sus aplicaciones automáticamente y, aunque hay que hacer 3 peticiones por aplicación, la base de datos son sólo unas 1.670 aplicaciones. El script os lo dejo a continuación:

<?php

ini_set('max_execution_time', 60*60 ); // 1 hora

mkdir('apk');

$pid = pcntl_fork();

if ($pid == -1)
{
die('could not fork');
}
else if ($pid)                        // padre
{
pcntl_wait($status);             //Protect against Zombie children
}
else                                 // hijo
{
$ch = curl_init();
$dl = strtolower(implode('|', glob("apk/*")));

$defaults = array(
CURLOPT_HEADER            => FALSE,
CURLOPT_NOBODY            => FALSE,
CURLOPT_RETURNTRANSFER    => TRUE,
CURLOPT_AUTOREFERER        => TRUE,
CURLOPT_USERAGENT        => 'Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0.1) Gecko/20100101 Firefox/6.0.1',
CURLOPT_FOLLOWLOCATION    => TRUE,
CURLOPT_MAXREDIRS        =>  5,
CURLOPT_CONNECTTIMEOUT    => 30,
CURLOPT_TIMEOUT            => 30,
CURLOPT_SSL_VERIFYPEER    => FALSE,
CURLOPT_SSL_VERIFYHOST    => FALSE,
CURLOPT_COOKIEJAR        => tmpfile(),
CURLOPT_VERBOSE            => FALSE,
CURLOPT_CUSTOMREQUEST    => 'GET',
);

$cats = array(
'/communications',
'/entertainment',
'/finance',
'/games',
'/health',
'/multimedia',
'/news',
'/productivity',
'/reference',
'/shopping',
'/sports',
'/system',
'/travel' );

foreach($cats as $cat) {

// descargar lista unica de aplicaciones por categoria
$defaults[CURLOPT_URL] = 'http://www.freewarelovers.com/android/category'.$cat;
curl_setopt_array($ch, $defaults);
$body = curl_exec($ch);

preg_match_all('|"/android/app/([\w\|-]+)"|', $body, $matches);

$apps = array_unique($matches[1]);

foreach($apps as $app) {

if (trim($app)=='') continue;
if (strpos($dl, strtolower($app))) continue;

// consultar el enlace de descripcion de la aplicacion
$defaults[CURLOPT_URL] = 'http://www.freewarelovers.com/android/app/'.$app;
curl_setopt_array($ch, $defaults);
$body = curl_exec($ch);

preg_match_all('|"/android/download/temp/(.*).apk"|', $body, $matches);
$nameApp = substr($matches[1][0],11);
if (trim($nameApp)=='') continue;
if (file_exists('apk/'.$nameApp.'.apk')) continue;

// conseguir el enlace directo a la aplicacion (no-hot-link)
$defaults[CURLOPT_URL] = 'http://www.freewarelovers.com/android/download/temp/'.$matches[1][0].'.apk';
curl_setopt_array($ch, $defaults);
$body = curl_exec($ch);

preg_match_all('|http://www.freewarelovers.com/hotlinkmenot/(.*)\.apk|', $body, $matches);
if (trim($matches[0][0])=='') continue;

// descargar la aplicacion
$defaults[CURLOPT_URL] = $matches[0][0];
curl_setopt_array($ch, $defaults);
$body = curl_exec($ch);

file_put_contents('apk/'.$nameApp.'.apk', $body);
}
}
}
?>

Etapa 2. Decompilar aplicaciones

Una vez todas descargadas, fue cuestión de pasar otro script que las decompilara. Se puede sustituir por cualquier otro proceso como, por ejemplo, “unzip”, “dex2jar”, “jad” y “understand”. Yo decidí hacerlo facilito y usar directamente la herramienta “apktool”.

#!/bin/bash

cd apk2

for f in $( ls ../apk ); do
if [ ! -d "../apk2/${f//.apk}/" ]
then
java -jar ../apktool.jar decode "../apk/$f"
fi
done

Etapa 3. Buscando sorpresas

La parte costosa ya ha terminado, obteniendo así tantos directorios como aplicaciones procesadas. Ahora es momento de buscar patrones “curiosos”, “delicados” y “repetitivos”, como, por ejemplo, aquellas aplicaciones que tienen admob u otra librería.

Centrándonos en “malware”, he realizado la siguiente búsqueda:

grep 'const-string v[0-9], "http[s]*://.*"' * -r

Muchos webservices… muchos dominios rusos… muchos logins… os dejo un dump de la consulta anterior para que os recreéis.

http://dl.dropbox.com/u/7186726/dumpGrep.txt

Etapa 4. AndroidRisk

Visto que hay miga en esto, decidí terminar el experimento con la aplicación AndroidRisk del paquete AndroidGuard. Esta aplicación permite buscar en un directorio de ficheros APKs aquellos que potencialmente se parecen mucho a uno de los últimos virus/troyanos detectados para Android (por ejemplo, DroidDream).

Es lanzar el siguiente comando:

./androrisk.py -d ../apk/

Os dejo el dump también.

http://dl.dropbox.com/u/7186726/dumpRisk.txt

No sé hasta que punto fiarme de los resultados, pero todo apunta a que muchas de estas aplicaciones “tienen sorpresita”. (A más alto el número, más afinidad de ser maligno.)

Etapa 5. Fuzzing

¿Y sí cogemos todas las direcciones que se han extraido y se lanza una herramienta automatizada de intrusión web MUY básica? (Sql Injections, Path Traversal, Remote File Inclusion, Local File Inclusion, … ) Se puede montar una bonita botnet con la tontería… y no sólo eso… sino que cada webservice debe llevar asociada una base de datos de usuarios.

Despedida

Y esto sólo con ~1500 aplicaciones …

Sed buenos y cualquier duda ya sabéis donde estoy.

¡Tribunal de lujo!

Hasta este fin de semana no he podido poner las notas a la presentación y compartir todos los documentos con vosotros.

Aviso que existen errores gramaticales, imprecisiones y que la calidad es bastante superable. A día de hoy, si tuviera que rehacer el trabajo, lo reestructuraría de una manera muy diferente, pero no conté con suficientes recursos al empezarlo. Supongo que ya iré aportando novedades en un futuro de los diversos temas que trate. Para abrir boca, os dejo este siguiente video: Ciudadano robando a Hacienda un portátil.

Podéis descargar la memoria (PDF), la presentación (PDF), y la presentación anotada (HTML) en el enlace inferior:

Ingeniería social: psicología aplicada a la seguridad informática (Sergio Arcos)

Espero que la disfrutéis, aprendáis lo máximo posible, y que la siguiente vez me salga mejor. Evidentemente, cualquier cosa del proyecto que queráis comentar, bienvenido es.

Ahora, a ver cuando termino la documentación de la presentación de GTUG…

Empecé en http://hispabyte.net/ realizando lo más básico en el foro (Gracias @Cabrero1964)… Viví Boinas negras e Izhal… Continué con algunos más completos como http://www.hackthissite.org/… Colaboré en algunos mucho más currados como http://yoire.com/… Rompí mi cabeza en sitios como http://bright-shadows.net/ (Gracias @Phas, con quien intenté elaborar un sitio de retos)… y finalmente se me han pasado muchisimos otros, como los de SecurityByDefault, otros del Maligno, etc, etc, etc (no recuerdo el nombre de los que van por terminal… pero han sido siempre muy interesantes). Aún así, superé 0 retos en la última DEFCON CTF (olé!).

Estos últimos días estoy dedicando bastante tiempo a un nuevo site… http://securitytraps.no-ip.pl (Gracias al equipo Activalink http://blog.activalink.org/ (¡que buenos son los cabroncetes!)).

Lo que más me ha impacto respecto a muchos de los otros retos vividos es lo que llegas a aprender. A diferencia del resto de retos, los cuales son pasables sólo si tienes una idea feliz, es que estos son bastante sencillos y simples, pero necesitas ENTENDER y optimizar lo que estas haciendo. La mayoria de pruebas son con el código fuente y el objetivo es conseguir la excepción de ese pedazito de código.

A mi me ha enseñado a ser más paciente y persistente los retos más jodidos, yendo pasito a pasito, y finalmente, poder decir que has aprendido cosas nuevas. Es cuestión de leer bien, localizar los conceptos clave, y buscar información hasta entender perfectamente que esta sucediendo. Sí, es un RTFM bien grande. (RTFM=Read The Fuck Manual)

Lamentablemente, hacer retos, tener 2 papers que terminar, un servidor que configurar, y muchas más cosas que aprender no se puede hacer en un verano entero. ¡Espero postear mejores aportaciones la próxima! ¡Sed pacientes!

Que monos

…el resultado…

Hibrido USB - Peluche

La idea original era un pato de goma junto al Teensy, llamado USB Rubber Ducky. Proviene de la comunidad Hak5, conocida por sus videos de YouTube, pero esta claro que cualquier cosa sirve.

Y algunos os preguntaréis: ¿Que programa usas en el Teensy? Bueno, originalmente utilizo la combinación del programa “osk” y una “cmd” (probadlos abriendo un Tecla-GUI-windows + R y ejecutandolos), principalmente para saltarme kioskos de fotos o parecidos con pantallas táctiles sin teclado, pero en este caso, lo he personalizado y he hecho combinación del Iexplorer con el Squirtle Toolkit.

Note: I do not care if you want to share or translate the document, but please, quote me . Thanks!

Brief

I have developed a Application for Android which stoles the File List of the SD-Card of the victim.

I do not use any kind of special trick. That is the real problem.

What does the exploit need?

It only needs “Internet” permission, so it is very easy to use in malicious apps (and persuade the user to get into the trap).

How it works…

You can read by DEFAULT the files in the SD-Card, so you only have to read them and send into Internet. I have deployed a webservice in a webhost that I can manage to do this PoC.

Download it here: (pname:poc.SDCard)

Why am I doing it?

Because I care about your security. I want you that you will experiment HOW EASILY it is. And then…

1) Think twice what kind of information you have in your SDCard

2) Think twice what apps you allow The 90% of apps use the “Internet” permission.

Where is the real problem?

The problem is that the Google Developers have say: “Do not store sensitive information into your SDCard! only shared data!” … but the application developers (like Dropbox, whatapps, your camera, …) does not care a bit and they save your files there.

First, the application developers SHOULD care about you. And second, you should care about YOURSELF. If they do not care about you, do not use them.

Can you show us the source-code?

Main function: (yeah… too easy)

private void getFiles(File F) {
 for (File t : F.listFiles()) {
  DATA.add(t.getAbsolutePath()+"\n");
  if (t.canRead() && t.isDirectory()) {
   getFiles(t);
  }
 }
}

Are you storing my data with this App??

Calm. I am only sending your File List (it is a slow app… I know… I did not use Threads) to my webhost. I do not want your data (I could have send it too ). I promise you that I am going to remove all the uploaded files of the webhost… BUT…. you can delete it too. Just click the button that appears in the app.

Argg!! It goes really slow…

Yes, I know. It gets the list of files, it is put in a string, it is sent to the webhost, and then it shows you the screen…

I promise it works… so start deleting all your data of the SDcard right now .

Special Note: Do you use CyanogenMod or another custom Rom? They save by default a backup of your data as *.img files. Do you know that they contain ALL YOUR DATA OF YOUR ACCOUNTS? It is overLOL!…(this image was taken when I was coding the app…)

Conclusion

Any application that you have stored could do it. I hope you will learn something about it. Use a sniffer to know what the fuck your apps are sending… (yeah… they could send the data by a SSL channel).

Greets!

and if you have any question, contact me, of course!!

Note: If you see any spell mistakes, you can say me it. I would appreciate it . Thanks!

La vulnerabilidad localizada no es crítica ya que requiere de otra vulnerabilidad para fijar la cookie, y ya ha sido corregida en la última versión. La seguridad en un sistema no es más que el número de capas eficientes en cada proceso interno del software, y en este caso, había más protecciones en el proceso afectado. Lamentablemente, no sólo EyeOS fue/es vulnerable. Raúl Siles encontró vulnerabilidades en SAP, Joomla y otros sistemas, alertando que todavía más páginas están afectadas aún siendo una vulnerabilidad del año 2002.

El objetivo de esta entrada es analizar Session Fixation y cómo hay que tratarlo en PHP correctamente.

How to find a session fixation

Para localizar esta vulnerabilidad basta con observar que la cookie de session (por defecto PHPSESSID) no cambia aunque se loguee, se desloguee, se vuelva a loguear, etc. Lo que cambia son los valores internos, pero no el identificador.

El código fuente normalmente usa la función session_destroy(); pensando que es suficiente para regenerar la cookie, pero esa no es su función.

How to exploit a session fixation

Normalmente será necesario tener un `Cross-Site Scripting´ (XSS) o otra vulnerabilidad (\r\n) para inyectar el código malicioso. El proceso es asignar una session que se conozca y cambiar la fecha/dominio de la cookie para que nunca expire, es decir, que sea permanente (a diferencia de las cookies que expiran al cerrar el navegador). Esto se puede conseguir de diferentes maneras. Una de muy elegante es introducir por XSS el siguiente código:

<meta http-equiv=”Set-Cookie” content=”value=n;expires=date; path=url”>

Hay que jugar con la fecha de expiración y la ruta entre subdominios para obtener el impacto deseado, pero en cada web será diferente.

How to sanitize a session fixation

La función session_destroy(); hace lo mismo que poner a 0 el contenido del fichero que genera en la ruta de sessiones ( “/tmp” por defecto en entornos GNU/Linux). Por lo tanto, la función que hay que utilizar es session_regenerate_id(true); que no borra la session, pero que cambia el identificador, borrando el fichero de la antigua session, ayudando a controlar los ficheros residuales.

PHP facilita el trabajo de las sessiones, comprobando que el nombre de estas no contiene caracteres especiales (valid characters are a-z, A-Z, 0-9 and ‘-,’) y su longitud (cread una carpeta con nombre muy largo e insertaros una cookie de 128 caracteres (el máximo). Saldrá un error y no dejará continuar), pero hay que saberlas configurar.

How to steal sessions

Uno de los errores que ha crecido más en la lista OWASP es el `A6: Security Misconfiguration´. Los administradores de sistema están pensando que los software precocionados están preparados para instalarse y olvidarse. Pues no, empezando por PHP, MySQL, Apache, y cualquier otro que sirva de base para aplicaciones como Joomla, Drupal, etc.

Como se comentó, las sessiones suelen almacenarse en “/tmp” por defecto. Si se esta en un servidor compartido (vhost) lo más normal es que todos tengan acceso a esa partición, pudiendo leer las sessiones de los usuarios ya logueados. Creo que no hace falta comentarlo, pero robar la session es tan preocupante como que se roben los usuarios y las contraseñas. Al final la session es la manera de saber que tiempo atrás hubo una autentificación satisfactoria.

How to maximize the security

Hay dos consejos que considero adecuados aplicarlos:

1) Usar session_regenerate_id(true); en cada petición del usuario al servidor. Esto evitaría ataques `Cross-site request forgery´ (CSRF) tal como comentaba Raúl Siles. EyeOS no era vulnerable porque utilizaban un token interno por ellos que iba cambiando dependiendo del proceso y más variables, pero la session seguía en un nivel inferior.

2) Utilizar la función session_save_path(‘/path’); y session_cache_expire(); para asegurarse del directorio donde las cookies se guardan (OJO: es importante asignar los permisos correctos a esta ruta o sino el problema será el mismo) y reasignar el tiempo de expiración de la cache (defecto es 180) dependiendo de la aplicación.

Conclusions

He tratado el tema bastante por encima. En Taddong hay información muy buena del proceso completo para su detección y explotación. Aunque me haya centrado en PHP, la lógica se aplica a cualquier otro sistema: Si no se regenera la id, el sistema puede verse vulnerado. ¡session_Id con cuidado!

Note: I do not care if you want to share or translate the document, but please, quote me . Thanks!

Brief

I am going to tell you how to do a presentation with Teensy, a USB development board that let automatize keystrokes and mouse movements. There are a lot of tools for doing presentations, like Beamer (LaTeX), MS PowerPoint, LibreOffice Presentation, Prezi, … but I wanted to expose a bit more creative.

What do you need?

This is the toolkit we need:

As you can see, the most important thing is the Teensy board, that you will have to buy it in the official webpage. The other things are just to do it better. But we need some software tools too. I will be using the Teensy Loader Application and the Teensyduino IDE. (I am sorry but I cannot explain here all that you need to configure it. You can find all the instructions in the links. It is easy.)

How to do it

Well, Teensy does it a bit hard when you do not have a U.S. keyboard, so you will be have to write less code if you have this keyboard. I will send any special key with a ALT+XX combination (lol, yeah).

I will paste a code to print some lines and you will understand what is the idea:

#include <usb_private.h>

void setup() { }

void loop() {

// Hold until the keyboard is initiallized
while(Keyboard.isInit()){
Keyboard.set_key1(KEY_NUM_LOCK);
Keyboard.send_now();
delay(500);
}

// We open the notepad ( Gui + R -> notepad -> enter )
Keyboard.set_modifier(MODIFIERKEY_GUI);
Keyboard.set_key1(KEY_R);
Keyboard.send_now();
sendNull();
delay(1000);

Keyboard.print("notepad");
enter();

// maximize window ( Alt + Space -> x )
Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEY_SPACE);
Keyboard.send_now();
sendNull();
delay(200);

Keyboard.set_key1(KEY_X);
Keyboard.send_now();
sendNull();
delay(200);

// we change the font-size ( Alt + o -> f -> Alt + m -> "50" -> Enter )
Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEY_O);
Keyboard.send_now();
sendNull();
delay(200);

Keyboard.set_key1(KEY_F);
Keyboard.send_now();
sendNull();
delay(200);

Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEY_M);
Keyboard.send_now();
sendNull();
delay(200);

Keyboard.print("50");
enter();

// here starts the presentation

Keyboard.print("I am Martes13");
enter();

numCapsOn();
while (isNumCapsOn());

Keyboard.print("and this presentation is quite simple");
enter();

numCapsOn();
while (isNumCapsOn());

Keyboard.print("isnt it");

// We need to send the character "?" . It is ALT+63

Keyboard.set_modifier(MODIFIERKEY_ALT);
Keyboard.set_key1(KEYPAD_6);
Keyboard.send_now();
Keyboard.set_key1(KEYPAD_3);
Keyboard.send_now();
sendNull();

enter();

while(true);
}

// Release the key
void sendNull() {
Keyboard.set_modifier(0);
Keyboard.set_key1(0);
Keyboard.send_now();
}

// Sends the Enter key
void enter() {
delay(200);
Keyboard.set_key1(KEY_ENTER);
Keyboard.send_now();
sendNull();
delay(200);
}

// Checks if the NUM is on
bool isNumLockOn() {
return bitRead(int(keyboard_leds), 0);
}

// Checks if the CAPS is on
bool isCapsLockOn() {
return bitRead(int(keyboard_leds), 1);
}

// Sends the CAPS LOCK key
void putCapsLockOn() {
Keyboard.set_key1(KEY_CAPS_LOCK);
Keyboard.send_now();
delay(1000);
}

Ok, there are some important things to tell:

- This is a simple example. You can do WHATEVER you could do with a KEYBOARD and a MOUSE. It is really useful if you want to do a live presentation through some different applications. From now, you cannot have an excuse to say “I tested in home and it worked”. Noo.

- How to stop the presentation is the most important detail. I am using the CAPS LOCK KEY. When I want to code it, I have to activate the key and wait ( while (isNumCapsOn()); ) until the user deactivates it. It is the WHY of the Bluetooth keyboard .

- You can forget the last line (how to stop it) and do it ALL with a delay(-(int)time-); function, but if you have any problem and it goes too fast I hope you will have an alternative presentation.

It is only an introduction to this kind of live-awesome presentations, but you will have spend quite time coding it. It should be nice to have a good library… but it does not exist yet.

Greets!

and if you have any question, contact me, of course!!

Note: If you see any spell mistakes, you can say me it. I would appreciate it . Thanks!

Note: I do not care if you want to share or translate the document, but please, quote me . Thanks!

Resumen

Gmail ha sacado su nuevo servicio llamado Gmail Motion, todavía en estado Beta. Se basa en, a través de la cámara web, leer gestos y hacer acciones que representan. Este servicio puede verse alterado, e incluso provocar una denegación de servicio (DoS) tanto en el servidor como en el cliente si alguien aparece por detrás haciendo nuevos gestos.

Angulo de visión de la webcam

El enfoque de la webcam son 50º en vertical y 34º en horizontal, permitiendo el cuerpo de más de una persona a la vez. Dado que el sistema todavía esta en Beta, se guia por los colores de la pies, las siluetas y la profundidad por los tonos negros, sin contemplar el número de extremidades que aparecen.

Esto implica una fácil suplantación del individuo añadiendo otra persona dentro del marco procesado.

Denegación de servicio

Se ha comprobado que si el programa esta en marcha y se incorpora una nueva persona realizando otro gesto supuestamente reconocido, el programa bloquea ipso-facto el ordenador con el que se trabaja. Se rumorea que el servicio de Gmail Motion empieza a ir más y más lento de manera general, pero gracias a su sistema SMTML (si-me-tiras-me-levanto) de momento no ha causado grandes estragos. Se recuerda que el sistema sigue en Beta, aunque no será fácil reparar este error.

Example of the Gmail Motion DoS

Esto implica que hay que cerrar bien la puerta de la habitación antes de comenzar a utilizar el servicio. Desde Google desaconsejan activarlo si se tienen hermanos pequeños.

Otros problemas

Se dice que si se pone una hoja en negro que ocupe todo el enfoque de la webcam el sistema te autobloquea la cuenta de Gmail automáticamente. Yo paso de probarlo, que no tengo tanta tinta para imprimirmela, pero os dejo una de muestra por si queréis testearlo.

Note: I do not care if you want to share or translate the document, but please, quote me . Thanks!

Resumen

Es posible infectar cualquier aplicación del sistema operativo Android hasta el próximo reboot del smartphone. Esto requiere de  una aplicación maliciosa con un exploit que de permisos root, es decir, se restringe a todo lo inferior a la Gingerbread (<2.3.x) que son más del 90% de dispositivos. Es la misma técnica que se utilizo con el DroidDream, pero en vez de crear nuevas aplicaciones e instalarlas, se aprovechan aplicaciones ya existentes.

DroidDream

El virus DroidDream ha sido el primero en cuestionar la seguridad en Android. Los pasos que hace son los siguientes:

1. Se instala a través de varias aplicaciones de varios usuarios (unas 30 apps entre 3 usuarios).
2. Estas apps, ejecutan 2 exploits: exploid y/o rage-against-the-cage, obteniendo root.
3. Aún si no se obtiene, se envia el IMEI, ISMI, version de Android, etc. a un webservice del atacante.
4. Instala una nueva aplicación, la cual se encarga de robar más datos.

Se puede obtener mucha más información en esta dirección (y los enlaces a los que apunta): http://blog.fortinet.com/android-droiddream-uses-two-vulnerabilities/

Lo que interesa es preguntarse: ¿Porque instala una nueva aplicación?

Seguridad by Google y sistema de firmas

Google es capaz de borrar remotamente aplicaciones del móvil (por nuestra seguridad…). Dado que todas las aplicaciones tienen una firma única, Google puede dirigirse a cada una de ellas inequívocamente. Así que la razón por la que instalaron los atacantes una nueva aplicación externa fue justamente para que Google no conociera su firma y no pudiera borrarla.

Poco después, la comunidad XDA-Developers descubrió un parche, tan simple como crear el fichero “/system/bin/profile” a través de la shell. Más información en http://forum.xda-developers.com/showthread.php?t=977154

Volviendo atrás, cuando un programador crea una aplicación, utiliza una clave privada que certifica que esa aplicación es suya y no es modificable por nadie más. Es muy importante guardar bien esa clave privada fuera del alcance de malas manos, sino se puede refirmar una aplicación como si fuera original. Aún así, el sistema Android permite ejecutar cualquier aplicación firmada (hasta modo debug), donde firmada significa que el contenido de “/META-INF/*” que se encuentra en el interior del APK lleva todas las firmas de todos los ficheros incluidos en el APK y se corresponden los hashes SHA1-DIGEST. Un ejemplo:

El sistema operativo comprueba en 2 ocasiones que los paquetes esten firmados:

1. Cuando se INSTALAN del Market o de cualquier otro sitio (consola)
2. Cuando se reinicia el sistema operativo comprueba que son validos, sino los desactiva

Entonces, ¿y si se mueve directamente a la carpeta de “/data/app/*.apk”? ¡Zas!

Reemplazando aplicaciones existentes

Para hacerlo divertido, vamos a hacer un ejemplo. (En esta ocasión, no explicaré como se hace reversing a aplicaciones Android, pero con apktool, dex2jar y el DDMS de Eclipse hay de sobras.)

Lo primero, escogemos una victima. La aplicación será la Esdeveniments, una cutre aplicación del PSC que sólo tiene un WebView.

1. La instalamos en el smartphone
2. La enviamos al pc a través del ASTRO Manager o del DDMS (obtened root en la shell con el OneClick)
3. Renombramos el APK a ZIP
4. Abrimos el ZIP, y reemplazamos los icon por calaveras y el main.xml lo editamos (ojo que tendréis que pasar de raw a ascii).
5. Se vuelve a renombrar como APK, y con el DDMS, se hace push del fichero a /data/app/nombre_original.apk

El resultado es que, aunque el icono del escritorio no cambia (a excepción de volverlo a arrastrar y recrearlo), cuando se abre la aplicación:

Hay que acordarse que para hacer esto, se necesitan permisos root (hacer igual que DroidDream y ejecutar nativamente el exploit), pero se puede automatizar el proceso de forma muy sencilla para hacerse en TODAS las aplicaciones instaladas en el movil. Es muy facil desde una aplicación programar que abra un APK, lo examine, modifique el main.xml, un archivo *.so (si se trabaja con NDK), o cualquier otro recurso, y lo vuelva a empaquetar. Imaginad que hace esto que digo de infectaros todas las aplicaciones… y reiniciáis el móvil . Adiós a todas vuestras aplicaciones. (un geek podría volvérselas a poner, o usar el recovery, pero ¿¿acaso no llegarían quejas a los proveedores de móviles??)

Entonces, ¿qué?

La seguridad de Android reside EXCLUSIVAMENTE en no ser vulnerable a un exploit. Aunque aquí se haya mostrado que se puede infectar otras apps, también se puede reprogramar el sistema entero, instalando rootkits que no sois capaces de imaginar. Os animo a pedir a vuestros proveedores (movistar, vodafone, etc) que os ofrezcan las últimas actualizaciones del sistema operativo (GingerBread, 2.3.3), o sino, quien sabe si la próxima vez que abráis la aplicación de Gmail o Facebook sale mi cara

Fe de erratas

Sin querer, aprete al botón de enviar mientras hacia pruebas.Lo siento…

…pude descubrir otra forma de debugging: provocando los errores a posta

Note: I do not care if you want to share or translate the document, but please, quote me . Thanks!

Resumen

A través de la confianza que gestiona Gmail, es posible saltarse el filtro de spam y conseguir spoofear correos. Esto devuelve a la década pasada, cuando el spam y el phishing eran más libres, pero a día de hoy, incluso permitiría hacer un Spear Phishing muy hardcore. Esta prueba de concepto esta ya arreglada, pero creo interesante compartirla.

En mi Proyecto Final de Carrera, uno de los temas de los que he hablado es la confianza, y tirando un poco del hilo, observe que Gmail tenia una vulnerabilidad a la hora de como funcionaba internamente. Es lo que llamo `a feature misused´.

Gmail y la confianza

No se si os habéis fijado, pero cuando recibís un correo de un nuevo amigo, y le contestáis, automáticamente os lo agrega al Gtalk. Esto es porque internamente Gmail lo ha añadido al grupo de amigos, o dicho de otra manera, a la lista de la que tiene “confianza”. Además de esta, Gmail utiliza otras maneras para vincular vuestra cuenta con otras, como, por ejemplo, cuando alguien os ha enviado la invitación (me remonto a cuando empezó Gmail, sí).

El objetivo de ir asociando cuentas es que la red se expanda, pero también hacer la vida más fácil al usuario (usabilidad). A partir de haber recibido y enviado ese primer correo, podremos utilizar el auto-completar.

Sacando la amistad entre gente

Es un punto muy interesante, pero me limitaré a dar algunas pautas: (seguro que hay más)

- Listas de correo: Dependerá de su configuración, pero en general estas envían los correos originales, y muchas veces al hacer reply-all son arrastrados consigo, haciendo que se intercambien correos.

- Chain List: Las famosas cadenas basura, más famosas por quebrantar la LOPD que por su interesante contenido, son perfectas para aprovecharse de esta vulnerabilidad.

Proceso

El objetivo es enviar un correo y que llegue al `inbox´ en vez de la carpeta `spam´.

Desde cualquier distribución GNU/Linux podemos crear un correo personalizado y enviarlo como prueba de concepto. Uso la cuenta de mi hermano para pasar el filtro.

Y en nuestra `bandeja de entrada´ recibiríamos lo siguiente. A la izquierda, sin desplegar. A la derecha, desplegado. (¿Quién desplega?)

Podemos hacernos pasar por quien queramos, no por correo, sino por su nombre, y como es lo único que nos enseña Gmail, ¡olé!. En su día envíe muchos correos para probarlo, y aseguro que funcionaba.

Además, si tenéis filtros personalizados y el correo que enviáis cumple la condición, se introduce en la etiqueta concreta (a excepción de que la condición sea la dirección de From (lógico)).

Reporte

Cuando descubrí la vulnerabilidad era por otoño/invierno del año pasado 2010, pero dado que era un ejemplo del PFC, no lo reporte todavía. Si os fijáis, la prueba la realice en febrero, que es cuando recogí las imágenes. A día de hoy, 20 de marzo, ya no funciona. Si utilizáis el siguiente código para enviar el correo:

/usr/sbin/sendmail -t -vv < fakemail.txt

veréis que el servidor de correo de Gmail os salta con la siguiente dirección URL -> http://mail.google.com/support/bin/answer.py?answer=10336 . Resulta que ayer me devolvía el error en el verbose, pero hoy, no lo esta haciendo (tampoco estoy recibiendo ningún correo, simplemente no lo avisa).

Eso significa que no se permiten enviar correos a Gmail si tu dirección IP no concuerda con el dominio del emisor. Pero no significa que el bug de confianza no este, sólo que a ver quien lo explota así xD.

Aunque…

A veces se le cuela. Ayer probé uno de los correos que tenia preparados al azar y coló, aún saliendo el error en el verbose.

Supongo que es por desincronización entre servidores.

Si hubiera sido más espabilado lo hubiera enviado en su dia al Reward Program, jeje.