Investigadores del Programa de Seguridad en TIC de la Fundación Sadosky identificaron vulnerabilidades en la aplicación Social Networking Service Provider (SNS Provider), preinstalada en varios dispositivos de Samsung.
Funciones de la aplicación:
Esta aplicación es utilizada para manejar las cuentas de un usuario en redes sociales y actúa como un servicio para que otras aplicaciones puedan obtener información de las redes sociales del usuario. De acuerdo estadísticas de Facebook relacionada con esta aplicación, la misma cuenta con 41 millones de usuarios activos mensuales, 17 millones semanales y 5 millones diarios.
Descripción de las vulnerabilidades:
Cuando un usuario se loguea en Facebook o Twitter, SNS Provider le requiere que permita a la aplicación Facebook “Samsung Galaxy” (o Twitter “Samsung Galaxy”) acceso completo a la cuenta. Si el permiso es otorgado, la aplicación guarda un identificador (token de acceso) que luego puede ser utilizado al realizarse pedidos de información desde otras aplicaciones a esa red social. En dispositivos nuevos, con Android 4.4 o mayor, SNS Provider permite también conectarse a las redes Google+, Linkedin y Foursquare.
La aplicación SNS Provider tiene servicios para el manejo y sincronización de contenidos de redes sociales del usuario, que no están protegidos por ningún permiso. Esta situación permitiría, a aplicaciones maliciosas utilizar dichos servicios para obtener imágenes, estados, noticias, ubicación, mensajes privados y cualquier otro tipo de información que se desprenda de las cuentas de Facebook o Twitter del usuario, al mismo tiempo que le permitiría publicar contenido en su nombre.
Por otra parte, una aplicación puede requerir los token de acceso sin que ello implique notificación expresa al usuario. Eso se debe a que la definición de los permisos necesarios no es la adecuada (deberían incluir el tag “protectionLevel”). Estos permisos , además, carecen de etiquetas o descripciones que le permitirían al usuario comprender qué tipo de autorización se le está requiriendo.
En dispositivos con Android 4.3 o versiones anteriores, cualquier aplicación que acceda al dispositivo puede solicitar acceso -a partir de los content providers también declarados como de tipo “normal”-y obtener cualquier información que se encuentre almacenada.
Recomendaciones:
Ante el reporte de las vulnerabilidades encontradas, Samsung deshabilitó las versiones vulnerables de la aplicación SNS Provider en Twitter y Facebook (“Samsung Galaxy”) y publicó versiones actualizadas que resuelven el problema.
Se recomienda a los usuarios que actualicen a la última versión de SNS Provider en el mercado Galaxy Apps y borren sus datos almacenados. En caso de que la actualización no resulte posible, además de borrar los datos almacenados, se recomienda deshabilitar la aplicación en el dispositivo y eliminar los permisos en las redes sociales.
Desde acá se puede descargar el reporte técnico completo.
