Menú principal

jueves, 23 de julio de 2015

UDID+ 2.5: Mail Command Injection en la versión de iOS

UDID+ es una sencilla y pequeña aplicación que muestra por pantalla el UDID, el identificador único de dispositivo de iOS. Con este UDID se pueden hacer muchas cosas, como por ejemplo generar un ipa, binario de iOS, preparado para un dispositivo concreto y que pueda instalarse en dicho dispositivo sin necesidad de pasar por la AppStore. Todo esto gracias al provisioning profile.Como curiosidad, hablamos ya de que Apple blqouearía las apps que leyesen este elemento del dispositivo, pero como se puede ver en la AppStore la aplicación está disponible.

La herramienta recupera esta información y permite al usuario enviarlo por correo electrónico o copiarla al portapapeles para pegarlo en otra ubicación. Como veis la herramienta es sencilla, aunque maneja información sensible del dispositivo, ya que puede ser el primer dato de interés para llevar a cabo un ataque dirigido.  Un Command Inject ha sido descubierto en la aplicación UDID+ 2.5, la cual es la última que hay en la AppStore. La vulnerabilidad permite inyectar código malicioso a la aplicación. La vulnerabilidad está localizada en el valor del nombre de dispositivo de la función "send by mail". Atacantes con acceso local a la aplicación pueden manipular el valor del nombre del dispositivo para comprometer esta función. 

Figura 1: PoC de la vulnerabilidad

El riesgo de seguridad ha sido estimado en medio con un CVSS de 5.7, ya que es un ataque local y no remoto. No se necesita autorización para llevar a cabo el ataque, por lo que hace que el CVSS sea mayor. Para solventar el bug se deberá lanzar una actualización de la app haciendo una validación de dicho parámetro para evitar esto. En los últimos meses hemos ido viendo como van saliendo diversas vulnerabilidades para apps, y es que según el informe que publicó HP, un alto porcentaje de apps móviles son vulnerables. Como casos recientes recopilamos File OYO Manager & WiFi File Transfer, Grindr v2.1.1, la red social gay más famosa o el LFI en la app de PhotoWebsite 3.1

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares