Device Inspector 1.5: 0day en la versión de la AppStore

La noticia que hoy traemos es la de un 0day en la app de Device Inspector 1.5. La versión que se encuentra en la AppStore es la 1.5, por lo que a día de hoy hay solución. La aplicación recoge características de los dispositivos iOS y los puede enviar por correo con 2 clics. Es cierto que Apple informó que no permitiría aplicaciones en la AppStore que capturasen información sensible del dispositivo como es el UDID. Por lo que podemos ver con la aplicación, esto no es cierto del todo, ya que la aplicación lo permite y se encuentra disponible desde la AppStore. 

La aplicación va más allá de la información proporcionada en Settings. Recoge información como el modelo, la capacidad de almacenamiento, la versión del Bluetooth, la velocidad del procesador, la versión de iOS, etcétera. Permite enviar el UDID rápidamente desde el dispositivo a un correo electrónico, incluyendo un botón 'Send' dentro de la propia aplicación. En esta versión existen múltiples vulnerabilidades web a través de Command Injection locales, los cuales han sido descubiertos por el equipo de investigación de Vulnerability Lab. La vulnerabilidad permite a los atacantes inyectar comandos propios para el uso del sistema y comprometer la aplciación web del móvil.

Figura 1: Device Inspector 1.5

La aplicación no codifica correctamente los valores del nombre del dispositivo lo cual se traduce en que el dispositivo queda comprometido. El parámetro de inyección es el nombre de la celda en la configuración del dispositivo iOS. Además, se han encontrado 2 vulnerabilidades más, las cuales comprometen la seguridad del dispositivo. El valor CVSS que se ha otorgado a esta vulnerabilidad es 5.7. La explotación de la vulnerabilidad requiere una cuenta de bajo privilegio en el dispositivo con acceso físico, por ello el valor del CVSS disminuye.

UDID+ 2.5: Mail Command Injection en la versión de iOS

UDID+ es una sencilla y pequeña aplicación que muestra por pantalla el UDID, el identificador único de dispositivo de iOS. Con este UDID se pueden hacer muchas cosas, como por ejemplo generar un ipa, binario de iOS, preparado para un dispositivo concreto y que pueda instalarse en dicho dispositivo sin necesidad de pasar por la AppStore. Todo esto gracias al provisioning profile.Como curiosidad, hablamos ya de que Apple blqouearía las apps que leyesen este elemento del dispositivo, pero como se puede ver en la AppStore la aplicación está disponible.

La herramienta recupera esta información y permite al usuario enviarlo por correo electrónico o copiarla al portapapeles para pegarlo en otra ubicación. Como veis la herramienta es sencilla, aunque maneja información sensible del dispositivo, ya que puede ser el primer dato de interés para llevar a cabo un ataque dirigido.  Un Command Inject ha sido descubierto en la aplicación UDID+ 2.5, la cual es la última que hay en la AppStore. La vulnerabilidad permite inyectar código malicioso a la aplicación. La vulnerabilidad está localizada en el valor del nombre de dispositivo de la función "send by mail". Atacantes con acceso local a la aplicación pueden manipular el valor del nombre del dispositivo para comprometer esta función. 

Figura 1: PoC de la vulnerabilidad

El riesgo de seguridad ha sido estimado en medio con un CVSS de 5.7, ya que es un ataque local y no remoto. No se necesita autorización para llevar a cabo el ataque, por lo que hace que el CVSS sea mayor. Para solventar el bug se deberá lanzar una actualización de la app haciendo una validación de dicho parámetro para evitar esto. En los últimos meses hemos ido viendo como van saliendo diversas vulnerabilidades para apps, y es que según el informe que publicó HP, un alto porcentaje de apps móviles son vulnerables. Como casos recientes recopilamos File OYO Manager & WiFi File Transfer, Grindr v2.1.1, la red social gay más famosa o el LFI en la app de PhotoWebsite 3.1.