Hace mucho tiempo publicamos en exclusiva ScreenTR, una amenaza que pretendía obtener nuestros datos bancarios o de redes sociales cambiando el contenido de nuestra pantalla. Desde aquí alertamos de esta posibilidad, presente aún en las últimas versiones de Android. Ahora toca dar paso a un nuevo problema que puede afectar a aplicaciones bancarias e incluso a la forma en la que compartes números de teléfono.
El problema en las aplicaciones bancarias.
Suele ser común que las aplicaciones bancarias cuenten con innumerables medidas de seguridad. Este tipo de aplicaciones intenta ponernos las cosas más fáciles como usuarios, no obstante, algunas funciones útiles no son demasiado seguras. Este es el caso de algo que encontraremos en gran parte de las aplicaciones bancarias, la posibilidad de copiar nuestro número IBAN al portapapeles, algo común a la hora de dar nuestro número de cuenta o querer realizar una transferencia desde nuestro teléfono.
El problema de esta amenaza reside en que nadie vigila el contenido del portapapeles y se da por sentado su seguridad. Cualquiera puede cambiar dicho contenido, de forma que una aplicación maliciosa cambie nuestro número de cuenta por el suyo propio. Cuando hagamos una transferencia y copiemos el código IBAN, puede que no nos demos cuenta de que ha cambiado, terminado siendo estafados de forma voluntaria.
Sin permisos complicados.
Normalmente las amenazas en Android se caracterizan por hacer uso de permisos adicionales del dispositivo. ScreenTR por ejemplo hace uso de la función de superponer pantalla. En este caso, el portapapeles no está asociado a ningún permiso, es decir, cualquier aplicación, desde un juego a una linterna, puede modificar su contenido en cualquier momento.
También se extiende a teléfonos y a cualquier cosa susceptible de estar en el portapapeles.
La amenaza descrita anteriormente es solo un ejemplo de las posibilidades de esta amenaza. Cualquier dato puede ser modificado, por ejemplo, en el caso de copiar un número de teléfono para añadirlo a nuestra agenda, una aplicación maliciosa puede cambiar dicho número por un número de pago. También es aplicable esta misma técnica para correos electrónicos y cualquier cosa susceptible de tener un patrón.
Aún no parece estar siendo explotado.
Esta información descubierta por desarrolladores cercanos a AndroidTR proviene exclusivamente de un cúmulo de ideas. Por el momento no hay constancia de que este problema esté siendo explotado por terceros, no obstante, es difícil incluso sufriendo dicho problema detectar qué aplicación es la culpable.
Los mismos desarrolladores han diseñado una forma de paliar los efectos de esta amenaza en servicios sensibles. Veremos si finalmente esta solución termina siendo añadida por la comunidad o si Android reacciona al problema.