Más del 75% de los móviles Android son vulnerables a la grabación de pantalla y audio por parte de ciberdelincuentes. Al explotar el servicio MediaProjection, un atacante puede engañar fácilmente al usuario para obtener derechos mediante una aplicación maliciosa.
Tal como señala BleepingComputer, el servicio MediaProjection se basa en ventanas emergentes de «llamada intencionada». Estas ventanas sirven para informar a los usuarios que su pantalla o audio será grabado. Investigadores de seguridad de MWR Labs descubrieron que es posible “disfrazar” estas ventanas emergentes al superponer texto sobre ellas. De esta forma, sería posible lograr que un usuario piense que está abriendo algo inofensivo en lugar de un malware.
El informe de MWR Labs explica: «Para usar el servicio MediaProjection, una app simplemente tendría que solicitar acceso al sistema a través de un Intent. El acceso a este servicio del sistema se concede mostrando una ventana emergente SystemUI. Esta ventana advierte al usuario que cierta app solicita hacer una captura de su pantalla».
«Se descubrió que un atacante podría superponer esta ventana emergente de SystemUI con un mensaje arbitrario para engañar al usuario” continua el informe de MWR Labs. “Así el usuario otorgará a la app del hacker la capacidad de capturar su pantalla del usuario».
El problema con MediaProjection es que no depende de permisos. Esto hace que sea difícil determinar si una app va a hacer uso del servicio o no. MWR Labs señala que el 77.5% de los dispositivos Android activos siguen siendo vulnerables a ataques de este tipo.
Soluciones temporales y reales contra ataques por uso de MediaProjection
La única solución real que se ha encontrado hasta el momento es actualizar Android a Oreo. Sin embargo, obviamente esta no resulta una opción para todo el mundo. Los usuarios que ejecutan Lollipop, Marshmallow o Nougat siguen dentro del margen de riesgo.
Debido a su diseño, MediaProjection es capaz de capturar la actividad de la pantalla y el audio que le acompaña. Este servicio tiene usos legítimos, pero al usar una técnica conocida como “permiso de tap-jacking”, MediaProjection puede ser usada para cosas más nefastas.
En búsqueda de una solución al problema de vulnerabilidad, MWR Labs ofrece el siguiente consejo: “Cuando una app obtiene acceso al MediaProjection, genera una pantalla virtual que activa el icono de screencast en las notificaciones. Si el usuario ve el icono de screencast en la barra de notificaciones, debería investigar la app/proceso en ejecución”. De esta forma podría detectarse un posible ataque, e incluso prevenirse la filtración de información.
Un año lleno de vulnerabilidades en Android
Esta no es la primera gran vulnerabilidad de Android que sale a la luz en el presente año. Investigaciones previas incluyen el ataque Cloak&Dagger, el ataque Toast Overlay y el error Broadpwn (que también afecta a usuarios iOS).
Antes de descubrir la falla de MediaProjection, los investigadores de MWR participaron en el concurso de seguridad Mobile Pwn2Own. Allí, MWR fue capaz de encontrar errores en los smartphones de compañías como Huawei y Samsung. Durante el pasado 2016, el equipo de MWR descubrió un grave error de falsificación de solicitudes entre sitios (CSRF). Esta permitía a los piratas informáticos robar dinero de varias carteras Monero.