Figura 1: Cuidado con los Web Browsers que usas en Android
La vulnerabilidad que presenta AppsGeyser es que por defecto, en el componete de la Web View que usa para navegar se ha desactivado la alerta de certificados inválidos. Es decir, que si alguien se conecta a la web dehttps://www.facebook.com y el certificado que se le entrega no está firmado por una entidad de confianza, no pertenece a www.facebook.com, ha caducado o ha sido revocado, el usuario no verá ninguna alerta de seguridad. Esto, abre la puerta a los ataques de SSL Sniff, o lo que es lo mismo, a poder utilizar certificados falsos en esquemas de man in the middle para poder descifrar todas las conexiones.
Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.
Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminalesAndorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.
Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook
Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APKde las apps que genera, que como podéis ver lleva por nombre BrowserTools.
Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser
Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.
Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play
La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.
Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser
Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.
- MEGA Fast Browser
- Best & Fast Web Browser
- My Personal Browser
- Santini Labs Web Browser
- Suvy Browser
- TheAlwaysBrowser
- Aurora Web Browser
- Internet Access Browser
- STAR WEB BROWSER
- PC Browser Mini
- RSD Browser
- WeBuddy Browser
- IB8 BROWSER - India Browser 8
- bTown video,serials & browser
Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.
Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces
Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.
Saludos!
Figura 2: Navegando a https://www.facebook.com con un certificado falso. No alertas.
Teniendo en cuenta que existen muchas aplicaciones para hacer ataques de man in the middle en redes WiFi, como Dsploit, a las que se conecten los terminalesAndorid, incluida la vulnerabilidad de ICMP Redirect que vimos hace poco, los ataques de Rogue AP, o cualquiera de los esquemas de ataques en redes de datos, abre un esquema de ataque muy interesante a todas las apps vulnerables.
Figura 3: El tráfico SSL puede ser descifrado, y acceder por tanto al usuario y la contraseña de facebook
Aprovechando que tenemos Path 5 en Eleven Paths fuimos a ver cuántas y de qué tipo son las apps que están publicadas en Google Play creadas por AppsGeyser. Para ello buscamos alguna de las que habían sido firmadas por AppsGeyser y miramos los detalles del certificado que utiliza esta aplicación para firmas las APKde las apps que genera, que como podéis ver lleva por nombre BrowserTools.
Figura 4: Certificado utilizado para firmar las apps generadas por AppsGeyser
Realizando una búsqueda en Path 5 por la clave pública del certificado antes mostrado y filtrando solo por las apps que están vivas aún en Google Play, podemos ver que salen las famosas 5.500 apps que publicamos en el blog de Eleven Paths.
Figura 5: Apps firmadas con ese cert que aún están vivas en Google Play
La gracia es que podemos filtrar más la búsqueda, para que nos saque las apps que se han creado con esta firma digital, vulnerables a ataques de man in the middle y que se anuncian como navegadores de Internet, donde como podéis ver se aprecian un total de 69 apps. Todas ellas vulnerables a ataques de SSLSniff , y que no debéis utilizar hasta que no se arregle esto.
Figura 6: Aprovechando las Web Views, apps de Web Browsing publicadas con AppGeyser
Dentro de a lista completa de los Web Browsers para Android vulnerables están, por ejemplo, todos estos que puedes probar en un laboratorio para testear la vulnerabilidad. Os publicaremos la lista completa en un fichero aparte.
- MEGA Fast Browser
- Best & Fast Web Browser
- My Personal Browser
- Santini Labs Web Browser
- Suvy Browser
- TheAlwaysBrowser
- Aurora Web Browser
- Internet Access Browser
- STAR WEB BROWSER
- PC Browser Mini
- RSD Browser
- WeBuddy Browser
- IB8 BROWSER - India Browser 8
- bTown video,serials & browser
Mirando el número de veces que se ha instalado cada uno de estos web browsers, se puede ver que el número total de apps instaladas vulnerables a este ataque, como dicen en la web de AppsGeyser, son millones.
Figura 7: Quick Simple Browser ha sido instalado entre 5.000 y 10.000 veces
Este es un fallo de seguridad grave, y si tienes un MDM en tu empresa, deberías filtrar que tus empleados naveguen por este tipo de apps, que bajo el pretexto de ser un Web Browser ligero / rápido / molón quitan muchas de las medidas de seguridad que trae un navegador profesional.
Saludos!
