SE DA A CONOCER TÉCNICA QUE PERMITE CONOCER LA CONTRASEÑA DE GMAIL APP CON UNA TASA DE ÉXITO DEL 92% EN LOS PRINCIPALES TELÉFONOS MÓVILES.

 

 

gmail

Un grupo de investigadores de seguridad ha descubierto con éxito un método para cortar en seis de las siete aplicaciones de teléfonos inteligentes más populares, incluyendo Gmail a través de todas las tres plataformas – Android , Windows, iOS y sistemas operativos – con sorprendentemente alta tasa de éxito de hasta el 92 por ciento.
(VÍDEOS DEMOSTRATIVOS)

Científicos de la computación de la Universidad de California Riverside Bourns Facultad de Ingeniería y la Universidad de Michigan han identificado una nueva debilidad que creen que existen en Android, Windows y plataformas iOS que podrían posiblemente permiten ser utilizados por los hackers para obtener información personal de los usuarios utilizando aplicaciones maliciosas .

El equipo de investigadores – Zhiyun Qian , de la Universidad de California, Riverside, y Z. Morley Mao y Chen Qi Alfred de la Universidad de Michigan – presentará su papel, ” mirar a escondidas en su aplicación sin verlo: UI Estado Inferencia y Ataques Novela Android “( PDF ), en el Simposio USENIX de Seguridad en San Diego el 23 de agosto.

El documento detalla un nuevo tipo de método de hack, que ellos llaman una interfaz de usuario [interfaz de usuario] ataque interferencia del Estado – que ejecuta la aplicación maliciosa en segundo plano sin el conocimiento del usuario. Usted puede ver algunos videos cortos de los ataques en la acción siguiente.

Aunque, los investigadores demostraron el hack utilizando un dispositivo Android, pero creen que el mismo método podría ser utilizado en todas las plataformas del sistema operativo de tres porque cuando un usuario descarga número múltiple de aplicaciones para sus teléfonos inteligentes, las aplicaciones están ejecutando en el mismo plataforma compartida, o sistema operativo.

” La suposición ha sido siempre que estas aplicaciones no pueden interferir entre sí con facilidad , “dijo Zhiyun Qian, profesor asociado de la Universidad de California en Riverside. ” Mostramos que suposición no es correcta y una aplicación puede de hecho tener un impacto significativo otro y dar lugar a consecuencias perjudiciales para el usuario. ”

Por lo tanto los usuarios se exponen a este tipo de ataques como un teléfono con Android permite ser secuestrado o se adelantó a. Según el equipo, el método podría permitir a un hacker para robar la contraseña de un usuario, número de seguro social, vistazo a una foto de un cheque en una aplicación de banca, o números de tarjetas de crédito con banda magnética y otros datos sensibles. El equipo probó y descubrió algunas de las aplicaciones incluyendo WebMD, Chase y Gmail vulnerable.

Demostrar el método de ataque en un dispositivo Android, una aplicación sin firma, como un cambiador de papel tapiz que lleva el código malicioso se instala por primera vez en el teléfono del usuario. Una vez instalado, un atacante puede utilizar para acceder a un punto de entrada que los investigadores llaman un ” canal lateral de memoria compartida “- existe en casi todos los populares (GUI) de la interfaz gráfica de usuario de los sistemas – de cualquier proceso, que no requiere de ningún daño especial privilegios.

Luego, los investigadores monitorean los cambios en esta memoria compartida y fueron capaces de determinar “específicos eventos de transición de actividad “como un usuario que inicia sesión en Gmail, H & R Block o tomar una fotografía de un cheque para depositarlo en línea a través de Chase Bank .
En total el equipo intentado acceder siete aplicaciones, de las cuales seis fueron fácilmente hackeado. Gmail y H & R Block eran más fácil de la corte con una tasa de éxito del 92 por ciento. Por otro lado, Amazon era, con mucho, el más duro con sólo una tasa de éxito del 48 por ciento.

” El caso de Amazon aplicación indica que nuestro método de inferencia puede no funcionar bien si ciertas características que no son lo suficientemente distintas, sobre todo los mayores contribuyentes, como el modelo de transición y la función de evento de red “, escriben los investigadores en el artículo.

El uso de algunos otros canales laterales, el equipo fue capaz de detectar con precisión lo que un usuario estaba haciendo en tiempo real en la aplicación. Debido a este agujero de seguridad no es única sólo para Android, por lo que el hack presumiblemente podría ser utilizado en iOS y Windows, así, dicen los investigadores.

Un ataque exitoso requiere de dos cosas:

En primer lugar, el ataque debe tener lugar en el momento exacto en que el usuario está realizando la acción.
En segundo lugar, el ataque debe llevarse a cabo de tal manera que el usuario no es consciente de ello.

El equipo logró sacar esto adelante por el momento con cuidado los ataques.

” Sabemos que el usuario se encuentra en la aplicación de banca, y cuando él o ella está a punto de iniciar la sesión, se inyecta una pantalla de inicio de sesión idéntico “, dijo el estudiante de doctorado de ingeniería eléctrica Qi Alfred Chen de la Universidad de Michigan. ” Es transparente porque tenemos esta oportunidad. ”
Al Simposio USENIX de Seguridad, los investigadores podrían recomendar métodos para tratar de eliminar el canal lateral, y sugieren diseños de sistemas más seguros, dijo el equipo en el papel. Pero incluso si usted está quiere mantenerse a salvo de un ataque como este, siempre es una buena práctica tener mucho cuidado con las aplicaciones que se descargan en el teléfono – especialmente aplicaciones de fuentes no oficiales.
DOCUMENTO EN PDF QUE EXPLICA CON DETALLE EL MÉTODO USADO.

www.lazarus.com.ve/pdf/ataqueappgmail.pdf

Vídeos demostrativos de la vulnerabilidad.

 

Leave a Comment