Recientemente, AppCensus Blog, compartió un estudio titulado “El curioso caso de Coulus Coelib”. En él, exploran una técnica que han desarrollado a fin de detectar la explotación activa de canales laterales y encubiertos. Además de descubrir una recopilación de datos sensibles de usuarios, encontraron que también estos eran enviados a un tercero.
En esta ocasión, analizaron un canal lateral de una empresa oscura, supuestamente panameña. Al echar un vistazo a su código, encontraron un caso de estudio bastante interesante. Por ejemplo, con la aplicación WiFi Mouse (Control Remoto PC), que ven transmitiendo la dirección MAC del router al dominio mobile.measurelib.com.
En el estudio es posible apreciar una matriz llamada que incluye direcciones MAC no solo del enrutador, sino de otros dispositivos de la red doméstica. Aclaran además que la aplicación no tenía los permisos para acceder a la ubicación del dispositivo. Un permiso requerido para acceder a la información del enrutador. Por lo que consideran que debieron encontrar una manera de aludir al sistema de permisos en versiones vulnerables de Android.
Sin embargo, lo más sorprendente de esta matriz es que cualquier aplicación puede abrir y aprender la dirección MAC del enrutador, incluso sin permiso de ubicación.
Te podría interesar: El disfraz preferido en ciberataques en ordenadores
Datos compartidos
Un mensaje de descubrimiento plug-and-play de M-SEARCH se expande en toda la red doméstica. En cada portátil, enrutador y dispositivos IoT. Los enrutadores comparten deliberadamente sus detalles de configuración con el fin de facilitar la configuración a los usuarios. En este caso en particular, la aplicación solicita la información y logra obtenerla sin problemas.
Puede que te interese: ¿Deseas convertirte en hacker ético? Estas son las habilidades que debes trabajar.
Recopilación de datos adicionales
A medida que avanza el estudio, encontraron algunas transmisiones más inusuales donde diferentes aplicaciones que ejecutan un mismo SDK recopilan información diferente. Por ejemplo, la aplicación widget simple weather y clock incluye el contenido del portapapeles. Cada vez que el usuario ejecuta la acción copy / paste va a un portapapeles compartido que el SDK estaba rastreando y cargando a sus servidores. Incluso puede almacenar las contraseñas de un administrador de contraseñas.
Entre los aspectos más preocupantes del estudio, encontraron que el número de teléfono del dispositivo era transmitido con la clave JSON “PhoneNumber” junto a la dirección de correo electrónico asociada a ese teléfono en codificación base64 bajo la clave JSON “Name”. Resalta que esta versión del SDK recopila la ubicación GPS precisa, además de datos de ubicación basados en enrutadores más gruesos.
Sigue con: Morpheus, el nuevo dolor de cabeza de los hackers
¿Quién recibe estos datos?
Pese a los diversos intentos en descifrar el destino de estos datos, les resultó bastante difícil averiguarlo. Sin embargo, lograron encontrar algún indicio que les pudiera dar alguna pista. Al analizar una ‘biblioteca rara’, encontraron que todas las cadenas parecían estar codificadas en base64, lo que les impidió buscarlas. Pero eso no fue lo más grave. Estas cadenas también se decodificaron a valores binarios aleatorios de alta entropía. Lo que podría indicar que también están encriptados.
En definitiva, este es un estudio que requiere una examinación más minuciosa y a detalle para comprender su magnitud. Así que si lo desean, en este enlace encontrarán el estudio completo.
