Especial Ekoparty 2017: cuidado con las apps del celular

Segunda parte del día 3 de Ekoparty 2017. Regresé a la sala principal de la Eko cuando terminaba la charla de Leandro Ferrari, llamada Inseguridad en alarmas para vehículos. Sí, claro, no sólo el desodorante te abandona, también la alarma, si algún malvado tiene la paciencia necesaria. Entré y me acomodé para ver qué contaban Omri Herscovici y Omer Gull, de Check Point Software Technologies en su presentación Pwned in Translation – from Subtitles to RCE. Allí se explicó cómo los simpáticos archivos de texto plano de las traducciones podrían no ser tan inocentes. Omri y Omer plantearon la existencia de dos puntos débiles: 1) la existencia de más de veinticinco (!) formatos de subtítulos y 2) el mecanismo de *parseado* para que la información de texto se vea en pantalla es una función accesoria a la principal de mostrar imágenes, que está a cargo de software dedicado, un media player que lee desde disco o presenta lo que viene por streaming. Como en el mundito de los subtítulos no existe una biblioteca que abra todos los formatos, entra a tallar la inventiva del desarrollador de cada media player. Como afirman los presentadores, “inevitablemente, las cosas salen mal” dado que algunos archivos de subtítulos pueden contener no sólo etiquetas html, sino binario y hasta imágenes, y eso que sale mal se puede aprovechar para hacer ataques. Dada la pretérita experiencia de Omri y Omer (ambos son exintegrantes de servicios de seguridad israelíes) tiendo a creerles.

Pausa de media tarde para café/birra/güisqui/ferné luego de la cual, café en mano, pasé de los laterales a la planta alta, mientras en la sala principal estaba anunciado el valenciano José Selvi para presentar su FIESTA: an HTTPS side-channel party. Como José es un pentester muy experimentado, a tal punto que el módulo DNS de Metasploit surge de un aporte personal suyo, la herramienta de explotación Fiesta que presentaba y que luego puso en GitHub probablemente sea muy útil a quienes rasquetean las tripas (los canales laterales) del tráfico TLS . ¿Qué, vos seguías creyendo que si usás HTTPS nadie lee lo que enviás? Todo dependerá del tiburón que haya olido tu sangre…

Yo seguía visitando lo que llamo el Ekosistema; importuné a Jerónimo Basaldúa que me dio más detalles sobre la conferencia, los conferencistas y los conferenciados, escuché las indicaciones del Buanzo, baqueano de la región, pasé por el Capture The Flag, saludé muuuy brevemente a GiBa (hay conversaciones que no deben interrumpirse) y llegué a tiempo para la última reunión plenaria antes del cierre: Inside Android’s SafetyNet Attestation: Attack and Defense, que estaba a cargo de Collin Mulliner.

Collin Mulliner muestra el ataque a las Apps de Android a través de “el principal servicio de seguridad” de la plataforma.

Pequeña disgresión: ¿quién es Collin Mulliner? Doctor en ingeniería por la universidad de Berlín. Posgrados en informática en otra universidad alemana (Darmstadt) y en California (EEUU). Investiga la seguridad de teléfonos celulares desde 1998 (!!) e intervino en la redacción del protocolo oficial Linux de Bluetooth (BlueZ). Redactó el Android Hacker’s Handbook.

¿Y con qué se metió ahora? Con un componente de Android llamado SafetyNet Attestation, al cual él definió como “el principal servicio de seguridad” de la plataforma Android. Durante la presentación explicó qué era SNA, cómo funcionaba, cómo se lo usa, y… cómo se lo rompe. Es un servicio de Google, a través de Google Play; valida la integridad de las aplicaciones en el backend y también en el celular, con independencia del fabricante del equipo. “Simplemente llama a una API para certificar que la app y el equipo son benignos”. Acá la presentación remarca: ¿sólo con llamar a una API está todo bien? Hay vacíos en la documentación que posibilitan fallas y la aparición de ataques como SuHide y Magisk, mostró el juego del gato y el ratón entre Google y los diseñadores de malware, y defendió la gratuidad de este servicio, como en un saludito a los proveedores de antivirus para celu.

Aplausos nutridos (y merecidos), y llegó la hora del cierre de esta Ekoparty. Premios varios, saludos y agradecimientos muchos mientras el dinosaurio se paseaba y aceptaba selfies.

Descanso para varios, y la cita en la fiesta a partir de medianoche para otros.

En la próxima te cuento cómo funcionaron los talleres, charlas, mesas y encuentros, y una novedad de este año: el EkoDating, todo un éxito que pude presenciar en vivo y en directo.

Una nota de color… marrón. Un dinosaurio que andaba vagando por ahí, vio luz y entró.

 

 

 

Ricardog

Periodista científico especializado en tecnología. Médico en retiro efectivo.

Ver todas las entradas de Ricardog →

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.