Posted on

Butlletí de seguretat d’Android setembre 2024

Android ha publicat el butlletí de seguretat corresponent al mes de setembre de 2024.

Anàlisi

El butlletí d’Android, relatiu a setembre de 2024, soluciona múltiples vulnerabilitats de severitat crítica i alta que afecten el seu sistema operatiu, així com múltiples components, que podrien provocar una escalada de privilegis, una divulgació d’informació o una denegació de servici.

Les dos vulnerabilitats de severitat crítica, detectades en components Qualcomm (subcomponent WLAN), consistixen en desbordaments de memòria en FM Host, la qual cosa podria provocar la corrupció de la memòria. S’han assignat els identificadors CVE-2024-33042 i CVE-2024-33052 per a estes vulnerabilitats.

Addicionalment, en el marc de treball (framework) del sistema operatiu, s’ha corregit una vulnerabilitat de severitat alta i tipus escalada local de privilegis sense necessitat de privilegis d’execució addicionals, que es trobava en explotació activa. S’ha assignat l’identificador CVE-2024-32896 per a esta vulnerabilitat.

La resta d’identificadors CVE es poden consultar en les referències.

Recursos afectats

    • Android Open Source Project (AOSP): versions 12, 12L, 13 i 14 (framework i system).
    • Actualitzacions del sistema Google Play.
    • Components de Kernel, Arm, MediaTek, Imagination Technologies, Unisoc i Qualcomm.

Recomanacions

En cas d’utilitzar dispositius Android, s’ha de comprovar que el fabricant haja publicat un pedaç de seguretat i actualitzar-los.

En esta pàgina s’indica com verificar la versió d’Android d’un dispositiu i la data del pedaç de seguretat d’alguns fabricants. En cas que seguint esta guia no es puga comprovar la versió dels dispositius o la data del pedaç de seguretat, es recomana revisar la pàgina del fabricant.

Referències

Posted on

Zyxel llança pedaços de seguretat que corregixen múltiples vulnerabilitats en alguns dels seus productes

Zyxel ha llançat pedaços de seguretat que corregixen múltiples vulnerabilitats en algunes versions de tallafoc, encaminadors, punts d’accés (AP): 5G, DSL, Wi-Fi i fibra òptica. Les vulnerabilitats detectades podrien permetre que un ciberdelinqüent provocara condicions de denegació de servici (Dos), així com executar ordes del sistema operatiu o codi no autoritzat de manera remota.

Anàlisi

Entre les vulnerabilitats descrites, en destaquen tres per la seua severitat crítica.

Dos de les vulnerabilitats són d’injecció d’ordes i podrien permetre que un ciberdelinqüent, no autenticat, executara ordes del sistema operatiu mitjançant l’enviament d’una sol·licitud HTTP POST.

Una altra de les vulnerabilitats és d’execució remota de codi i podria permetre que un ciberdelinqüent, no autenticat, executara codi arbitrari carregant un arxiu en un dispositiu vulnerable.

Les vulnerabilitats corregides són les següents:

    • CVE-2024-6343
    • CVE-2024-7203
    • CVE-2024-42057
    • CVE-2024-42058
    • CVE-2024-42059
    • CVE-2024-42060
    • CVE-2024-42061

Recursos afectats

Entre els recursos afectats hi ha tallafocs, AP, encaminadors de seguretat, 5G NR/4G LTE CPE, DSL/ETHERNET CPE, fibres ONT, i extensors Wi-Fi. (consulteu els productes específics en l’enllaç de la notícia)

Recomanacions

    • Es recomana als usuaris d’estos productes que actualitzen el microprogramari per a una major protecció (accediu als enllaços de les referències per a descarregar les actualitzacions corresponents a cada producte).

Referències

Posted on

NGate: nou programari maliciós per a Android que transmet dades NFC per a clonar targetes i traure diners dels caixers

Techedt ha publicat una notícia sobre un nou programari maliciós denominat NGate, dissenyat per a Android, mitjançant el qual es pot capturar i retransmetre de manera exclusiva el trànsit NFC, la qual cosa permet als atacants retirar diners dels caixers automàtics clonant les dades de les targetes de pagament de les víctimes i sense necessitat de tindre les targetes físiques.

Com funciona NGate?

NGate s’infiltra en els dispositius Android gràcies a la descàrrega d’una aplicació maliciosa que, una vegada instal·lada, permet als delinqüents capturar dades NFC de la targeta de pagament de la víctima i transmetre’ls a un dispositiu controlat per l’atacant. Per a això, prèviament, la víctima ha rebut missatges fraudulents que aparenten ser comunicacions oficials d’institucions bancàries (pesca) que insten els usuaris a descarregar una aplicació per a «millorar la seguretat» de les seues transaccions o per a verificar alguna activitat sospitosa. No obstant això, l’aplicació instal·la un programari maliciós que pren control de les funcions NFC (Near Field Communication) del dispositiu.

Quan la víctima realitza una transacció amb la seua targeta, el programari maliciós captura les dades confidencials com el número de la targeta i la data d’expiració, els quals poden ser utilitzats posteriorment per a realitzar transaccions fraudulentes sense el coneixement del titular de la targeta, com ara la retirada d’efectiu des de caixers automàtics sense necessitat d’accés físic de la targeta.

Els atacants aprofiten la utilització de manera indeguda de la tecnologia PWA que permet a un usuari instal·lar una aplicació des d’un lloc web a través d’un navegador compatible; la instal·lació es pot activar de manera automàtica a través d’una notificació emergent o de manera manual seleccionant l’opció Instal·lar aplicació en el menú del navegador. Això, en combinació amb la ferramenta de codi obert NFCGate, la funció principal de la qual és transmetre un senyal NFC des d’un dispositiu Android a través d’un servidor a un altre dispositiu Android que pot imitar-lo o emular-lo, fa que es produïsca el resultat no desitjat per a la víctima.


Recomanacions per a mitigar el risc d’este tipus d’amenaces avançades:

• Evite instal·lar aplicacions des de fonts no oficials o enllaços enviats per missatges.
• Revise acuradament els permisos sol·licitats per les aplicacions.
• Utilitze aplicacions de seguretat actualitzades que puguen detectar i bloquejar programari maliciós en els telèfons mòbils.
• Desactive la funció NFC quan no estiga en ús.
• Opte per targetes virtuals que requerisquen autenticació.


Referències:

https://www.techedt.com/eset-unveils-ngate-android-malware-used-in-czech-atm-fraud

Posted on

Nova campanya de phishing amb codis QR explota la funció “Inicio de Sesión con Google”

Una nova campanya de phishing que utilitza codis QR està en marxa, segons ha informat The Hacker News. Els atacants estan explotant la funció “Inici de sessió amb Google” per enganyar els usuaris i obtindre les seues credencials. Aquest mètode d’atac es basa en la confiança que els usuaris dipositen en l’autenticació mitjançant codis QR, un procés que ha guanyat popularitat per la seua simplicitat i conveniència.

Els ciberdelinqüents envien correus electrònics que semblen ser legítims, però que en realitat contenen codis QR maliciosos. En escanejar el codi, les víctimes són redirigides a una pàgina de sessió falsa que imita la de Google. Aquesta pàgina sol·licita als usuaris que introduïsquen les seues credencials de Google, que després són robades pels atacants. Segons The Hacker News, aquesta tècnica ha demostrat ser efectiva a causa de la percepció de seguretat que solen tenir els usuaris en utilitzar codis QR.

A més, els atacants estan aprofitant vulnerabilitats en la configuració de seguretat d’alguns serveis que permeten l’inici de sessió amb Google. Aquestes vulnerabilitats faciliten la creació de pàgines de phishing que semblen legítimes, augmentant així les probabilitats d’èxit de la campanya.

Aquest tipus d’atac subratlla la importància de ser cautelós en utilitzar codis QR, especialment en correus electrònics i llocs web que no provenen de fonts de confiança. Els experts en ciberseguretat recomanen als usuaris verificar sempre l’autenticitat del lloc web abans d’introduir les seues credencials i ser prudents amb les sol·licituds d’inici de sessió inesperades.

Referències: