15 oct 2012

Aventuras y desventuras de Android con QR y USSD

Leyendo la entrada publicada por el señor The X-C3LL y escrita por Locutus referente a las vulnerabilidades de los dispositivos con Android y los códigos USSD (más información aquí) me ha venido a la cabeza el daño que podría hacer alguien con oscuras intenciones y algo de tiempo libre.Veamos el siguiente escenario:

   Una universidad cualquiera, todo el mundo con sus flamantes smartphones con Android, una significativa cantidad de ellos son terminales Samsung(después veremos porque el hecho de que sean de esta compañía es relevante) y se acerca el jueves (gran día para salir de fiesta ;) ) con lo que los tablones están llenos de promociones y descuentos para pubs, discotecas y oscuros antros.
   Entonces entra en juego el atacante, una joven inteligente (lectora de este blog) que se aburre y decide causar una masacre tecnológica, con lo que crea, o simplemente copia un cartel con una apetecible y suculenta oferta lúdica. A este anuncio le añade como forma de contacto un código QR apuntando a una página creada (o copiada y modificada) con oscuro fin.
   Los estresados estudiantes ven tan maravillosa oferta, y cegados por la curiosidad (además de sus ansias de borrachera) desenfundan sus potentesandroides, emocionados lanzan su aplicación favorita para leer códigos QR (por ejemplo Barcode Scanner) y ¡¡MAGIA!!¡¡BRUJERÍA!! de esa imagen formada con negros cuadraditos surge una dirección hacia una webhttp://copas_gratis_para_todos_y_todas.org (una dirección muy atractiva para las inocentes víctimas, puesto que nuestra intrépida atacante es una gran ingeniera social). Entonces al abrir la dirección automáticamente se ejecutará el código USSD con distintos (y algunos fatales) fines en función del código escogido.

Después de esta historieta (ha sido un día largo xD ) veamos como nuestra avezada joven ha logrado realizar este ataque.Obviando los pasos del diseño y cartel, el ataque es muy simple. El primer paso es conocer el código USSD a utilizar, para la demostración, y puesto que no queremos romper nada, utilizaremos la combinación que nos dará el IMEI del terminal:

*#06#

Una vez escogido, el ataque es simple, hacer que la web redireccione cualquier visita a una llamada a ese USSD, esto es muy facil, puesto que basta con introducir en el head del html:

<meta http-equiv="Refresh" content="0;url=tel:*%2306%23"> 

Comentar que el "prefijo" los codigos USSD es "tel", al igual que para una dirección web seria "http://".El ejemplo de una página web simple (en blanco) es el siguiente:

<html> <head> <title>Fiesta en X!!</title>  <meta http-equiv="Refresh" content="0;url=tel:*%2306%23"> </head></body> </html>
Una vez creada la página que realizará las maldades, resta crear el código QR. Para realizar esta tarea hay numerosos servicios web gratuitos que con solo introducir la dirección deseada nos generará su respectivo código.

Una página con esta capacidad es:

http://www.codigos-qr.com/generador-de-codigos-qr/

Por último bastaría con crear un cartel bonito y sugerente y añadirle el código QR, lo que eso ya se lo dejo a l@s manitas ;)Antes de finalizar, acabamos de ver que es posible crear los códigos QR con aplicaciones web, pero hay una gran herramienta que también es capaz de realizar dicha tarea, ésta es  SET

 El camino a seguir en sus nutridos menús es:

1)  Social-Engineering Attacks

Después:

9) QRCode Generator Attack Vector

En el siguiente paso pedirá la dirección a la que redireccionará el código, en nuestro caso:

http://copas_gratis_para_todos_y_todas.org

Y ya tendremos en el directorio /pentest/exploits/set/reports el código QR generado:

Con todo esto ya conocemos un nuevo y dañino vector de ataque del que una gran cantidad de dispositivos pueden ser víctimas, ya que al acceder a la dirección se desconoce su contenido. Además si el dispositivo es un Samsung, la cosa es mas "peliaguda", puesto que como se comenta en el post referenciado al principio existen códigos USSD realmente peligrosos para estos dispositivos.Como aclaración antes de despedirme, recordar que este post no es para que empecéis a colgar códigos QR por todas partes mientras soltáis carcajadas malvadas, es para prevenir de posibles ataques realmente dañinos de los que podéis veros afectados, ya que ahora conocéis el vector de ataque ;).

No hay comentarios:

Publicar un comentario