Hola a tod@s
Con nuestros Smartphone escaneamos códigos QR, realizamos envíos de
mensajes, escuchamos música o vemos videos. En estos
pequeños gestos podemos estar expuestos a infectarnos o ser víctimas de robo de información.
Una tecnología emergente HTML5 se ha convertido en nuevo
vector de ataque, el desarrollo de aplicaciones basadas en HTML5 ha ido
ganando rápidamente popularidad en la industria móvil. Un reciente informe de
Gartner dice que para el año 2016, cincuenta por ciento de las aplicaciones
móviles utilizará las tecnologías basadas en HTML5.
¿Qué plataformas están afectadas?
Todos los principales sistemas móviles se verán afectados,
incluyendo Android, iOS, Blackberry, Windows Phone, etc., porque todos ellos
admiten aplicaciones móviles basadas en HTML5.
Un problema notorio de la tecnología basada en HTML5 es que
código malicioso puede inyectar fácilmente en el programa y ejecutado. Es por
ello que el ataque Cross-Site Scripting (XSS) sigue siendo uno de los ataques
más comunes en la Web. Sólo pueden hacer objetivo a ataques XSS en aplicaciones
web a través de un solo canal (es decir, Internet), pero con la adopción de la
misma tecnología en dispositivos móviles, se ha descubierto que un tipo similar
de ataque no puede ser sólo lanzado contra aplicaciones móviles, puede atacar
de muchos canales, incluyendo código QR, exploración de Wi-Fi, canciones MP3,
videos MP4, Mensajes SMS, etiquetas NFC, lista de contactos, etc.. Tanto como
una aplicación basada en HTML5 muestra información obtenida del exterior o de
la aplicación, puede ser una víctima potencial.
¿Qué hace una aplicación Vulnerable?
- En primer lugar, esta aplicación debe basarse en la tecnología basada en HTML5, es decir, su código (o parte de su código) está escrito en JavaScript. Si la aplicación está escrita usando el lenguaje nativo de la plataforma (por ejemplo Java para Andrid) y Object-C para iOS, es inmune a este tipo de ataques.
- En segundo lugar, si existe un canal para la aplicación recibir datos desde afuera. Los datos pueden ser desde fuera del dispositivo (por ejemplo, análisis de código QR) o desde otra aplicación en el mismo dispositivo (por ejemplo, la lista de contacto).
- En tercer lugar, la aplicación necesita mostrar la información desde afuera. La elección de las API para mostrar la información es crítica. Algunas API es seguro, pero muchos de ellos no lo son.
¿Cómo funciona el ataque?
Para más información: http://www.cis.syr.edu/~wedu/Research/paper/code_injection_most2014.pdf
No seáis malos.