Przeglądarkowe zdalne wykonanie kodu w Androidzie < 4.2

Twórcy Metasploita chwalą się ciekawym nowym modułem: Android Browser and WebView addJavascriptInterface Code Execution. Ponoć 70% androidowców jest podatnych. Na czym polega problem? Zobaczmy.

Otóż wersje Androida < 4.2 posiadają od dłuższego czasu znanego buga umożliwiającego w prosty sposób uruchomienie dowolnego kodu w na systemie operacyjnym urządzenia poprzez… JavaScript (w problem zamieszana jest też niesławna Java). Samo przykładowe uruchomienie kodu w OS nie wygląda specjalnie skomplikowanie:

Za trustlook.com

Atak może odbywać się przynajmniej na dwa sposoby – wystarczy wejść na odpowiednio przygotowaną stronę HTML (zawierającą odpowiedni javascript) – autorzy Metasploita w ramach ciekawostki publikują specjalnie przygotowany na tą okazję QRcode ;)

Za Rapid7

lub poprzez atak man-in-the-middle (wstrzyknięcie odpowiedniego javascriptu w komunikację) – dotyczy to również aplikacji, które integrują w sobie przeglądarkę (tj. wykorzystują WebView).

Całość w działaniu (tj. finalnie interaktywny shell) można zobaczyć na filmie linkowanym tutaj.

Możecie powiedzieć, że najnowsza wersja Androida to przecież już 4.4 (podatne są < 4.2). Tak, jednak nowe systemy przyjmują się dość wolno (OS 4.4 posiada zaledwie < 2% rynku androidowego).

Co więcej, duża fragmentacja (czyli mnogość producentów / modelów / konfiguracji) na platformie Android nie sprzyja aktualizacjom, a także zmniejsza kontrole nad tym, które wersje systemu są rzeczywiście podatne, a które nie. Przykładowa wizualizacja fragmentacji urządzeń (za serwisem opensignal) – poniżej:

Zainteresowanych tematyką bezpieczeństwa Android odsyłam też do naszego wcześniejszego mini raportu: bezpieczeństwo systemów mobilnych: Android/IOS.

–ms