Uno de los permisos, sin llegar al “root”, que se le puede dar a un teléfono es el control total sobre la Accesibilidad. Con esta opción, usada de manera fraudulenta, se puede tener acceso a todo lo que el usuario ve en la pantalla, y todo lo que escribe en ella.

android-permisos.jpg

Es esta debilidad lo que uno de los encargados de seguridad de la empresa SkyCure, Yair Amit, ha utilizado para poder tener control total sobre el dispositivo. Usando la opción hallada en accesibilidad para permitir a las personas con problemas de daltonismo o problemas de visión, Amit pudo acceder al control total del móvil.

Pequeño fallo, gran problema

Tal y como se detalla en el vídeo, la aplicación lo único que necesita es poder dibujar por encima de otra aplicación, y que, a partir de ahí, lance las opciones de accesibilidad. A partir de aquí, el usuario estará tentado a activar las opciones para poder seguir con el uso de la aplicación.

Con este método, se puede suplantar la identidad del usuario, y acceder a todo el contenido. En SkyCure han desarrollado una aplicación basada en la popular serie “Rick and Morty” para demostrar cómo funciona.

Google lo intenta, pero siempre se descubren fallos

A pesar de que Google introdujo que ninguna aplicación podía dibujar ningún contenido sobre el botón de “Ok” en Android 5.0 Lollipop, Amir encontró un fallo. Basándose en la idea de que las puertas, al cerrarse, dejan un ligero hueco por debajo, Amir desarrolló un botón que tapara en casi su totalidad el botón de “Ok”, por lo que dejaba una ligera línea para poder pulsarlo. Este fallo está corregido en Android 6.0 Marshmallow en adelante. Pero, aun así, según estima Skycure, un 95.4% de los usuarios de Android está expuesto a esta vulnerabilidad.

 

Fuente: adslzone