EL PROBLEMA DE LA NO ACTUALIZACIÓN

El artículo de hoy va conducido a crear en el lector la buena práctica de tener sus dispositivos siempre actualizados. Esta rutina no siempre se lleva a cabo y se obtienen dispositivos con una serie de vulnerabilidades que pueden ser utilizadas por los ciberdelincuentes. Gracias a las actualizaciones muchas de ellas son parcheadas y corregidas, reduciendo la superficie de vulnerabilidad y aumentando la seguridad en el usuario.

Para ello haremos uso de una vulnerabilidad en Firefox para Android. La versión vulnerable envía mensajes SSDP constantemente buscando dispositivos. Estos mensajes son enviados mediante el protocolo UDP, lo que significa que cualquier dispositivo en la misma red podría responder a estas transmisiones.

De manera sencilla, esto significa que un ciberdelincuente podría conectarse a una red y hacer que todos los dispositivos conectados a esa red con una versión de Firefox para Android inferior o igual a la 68.11.0 abierto o en segundo plano navegara a determinada web, hiciera una llamada de teléfono a cierto número, o incluso, enviara un correo electrónico a la cuenta que especificase.

En esta PoC (Prueba de Concepto) podéis ver como podemos explotar esta vulnerabilidad y que con el ejemplo os ayude a interiorizar mejor la importancia de mantener los dispositivos actualizados.

Para la PoC, voy a utilizar mi pc personal, desde donde se lanzará el ataque; y una Tablet Android, que será la víctima con la versión vulnerable de Firefox. ¡Empecemos!

En primer lugar, nos creamos un archivo Python con el nombre del script (#touch ffssdp.py), copiamos el código (#nano ffssdp.py) y le damos permisos de ejecución (#chmod +x ffssdp.py) para poder lanzarlo.

Una vez que lo tenemos solo debemos lanzarlo en la misma red que se encuentra la víctima y esperar.

En este ejemplo vamos a mandar a la victima a la página de Facebook, sin que tenga que clicar en ningún enlace malicioso, ni que se tenga que descargar ningún archivo. Solamente necesitamos que tenga Firefox abierto o en segundo plano.

Imagen de la versión de Firefox de la víctima.
Imagen de la versión de Firefox de la víctima.

 

Para lanzar el script solo tenemos que llamarlo indicando la interfaz que estamos usando y el “target”, es decir, a donde queremos que se dirija la víctima, en este caso será a la página de  Facebook (#python3 ./ffssdp.py wifi0 -t “intent://www.facebook.com/#Intent;Scheme=http;package=org.mozilla.firefox;end”).

Imagen del pc atacante lanzando el script
Imagen del pc atacante lanzando el script

En mi caso, he abierto Firefox con la Tablet y he navegado a Wikipedia.org. Pensemos que la víctima termina su búsqueda y en vez de cerrar el navegador lo deja en segundo plano.

Imagen navegador víctima
Imagen navegador víctima

Cuando el atacante consigue conectarse a la víctima vemos en pantalla lo siguiente.

Imagen pc atacante con conexión a la víctima
Imagen pc atacante con conexión a la víctima

 

Observamos como se está conectando a un host, al tratarse de una prueba controlada podemos comprobar la ip de la Tablet para asegurarnos que nos estamos conectando a ella. ¡Efectivamente!

Imagen Tablet víctima, comprobación de IP
Imagen Tablet víctima, comprobación de IP

 

Una vez que se conecta completamente, sin necesidad de tocar la Tablet, esta se redirige a la página que le hemos dicho.

Redireccionamiento de la victima
Redireccionamiento de la victima

 

Prueba llevada con éxito, hemos conseguido que la víctima navegue a la página que hemos querido sin necesidad de que intervenga el usuario gracias a la vulnerabilidad de Firefox en Android.

 

Ahora pensemos que somos un ciberdelincuente con un número de pago y que en un lugar transitado con una red wifi gratis (centro comercial, estación de metro, estación de bus, aeropuerto…) ejecutamos el script para que llame a nuestro número…

Como se puede observar el conocimiento de la tecnología debe llegar todavía a muchas personas. Que estas, entiendan la importancia de mantenerse seguro y conozcan las métricas para que así sea.

En este caso, con tener una versión superior a la 79 en Firefox Android, o simplemente, cerrando el navegador, estaríamos a salvo.

Jose Manuel Nieto Campos

Criminólogo.

 

Copyright © 2020. Campus ETIC | Todos los derechos reservados.