Hace algunas semanas en la Ekoparty, Ravi Borgaonkar presentó una vulnerabilidad en dispositivos con Android, que permitían a un atacante realizar tareas maliciosas de manera remota a través de la explotación de los códigos USSD (Unstructured Supplementary Service Data). A causa de la peligrosidad que este tipo de ataques puede tener para los usuarios desde ESET se publicó una herramienta gratuita para proteger a los usuarios de este  tipo de ataques. ESET USSD Control se puede descargar directamente desde Google Play para evitar ser víctimas de este tipo de ataques.

La vulnerabilidad que se presentó en la conferencia de seguridad que tuvo lugar en Argentina, entre el 19 y 21 de septiembre permite que un atacante ejecute código malicioso en el dispositivos del usuario sin darle la oportunidad de cancelar o detener el ataque una vez que se inició. Además, para ser afectado por esta vulnerabilidad los usuarios solo tienen que acceder a un enlace malicioso, escanear un códigos QR o través de NFC (Near Field Communication). Parte de la demostración de cómo funciona este ataque se puede observar en el siguiente video:

[youtube]http://www.youtube.com/watch?v=Q2-0B04HPhs[/youtube]

Los códigos USSD son utilizados por la compañías telefónicas y las empresas que fabrican dispositivos móviles para realizar tareas de soporte técnico y asistencia a los usuarios. Estos códigos comienzan con un asterisco (*),  contienen una serie de dígitos representando los comandos o la información para luego finalizar con un numeral (#). Entre los comandos que se pueden ejecutar en un dispositivo podemos tomar de ejemplo el código *#06#,  si se ingresa esto en un dispositivo se logra obtener el número de IMEI (International Mobile Equipment Identity). Otros códigos muestran información del dispositivo o ejecutan determinadas acciones como por ejemplo un borrado completo del dispositivo.

El mayor riesgo de esta vulnerabilidad reside en que simplemente al visitar una página web se podría forzar la ejecución de un código a través de esta vulnerabilidad y afectar a la información almacenada en el dispositivo. Paginas web maliciosas o sitios cuya seguridad ha sido vulnerada podrían ser modificados para contener un iframe oculto que dispare la ejecución de este tipo de ataques.

¿Cómo funciona ESET USSD Control?


Cuando la aplicación ya ha sido instalado por el usuario, se mostrará un mensaje de alerta cada vez que se encuentre un código maliciosos de USSD, bloqueando su ejecución y logrando proteger al usuario. Para evitar ser víctimas de este tipo de ataques en los dispositivos con Android es importante asegurarse que ESET USSD Control se encuentra correctamente configurado:

  1. Descargar ESET USSD Control desde Google Play e instalarlo en el teléfono.
  2. Desde el teléfono visitar la página de prueba desarrollada por ESET (esta página solo contiene un verificador de que el producto se ha instalado correctamente y no realizará cambios al dispositivos)
  3. Cuando aparezca la opción para completar esta acción, seleccionar "Establecer como predeterminada" y seleccionar ESET USSD Control. De esta manera siempre que se vaya a ejecutar este tipo de acciones que podrían ser maliciosas la herramienta las detectará y evitará cualquier ejecución de código no deseada a través de esta vulnerabilidad.

Nota: ESET solo analiza el código USSD y no se almacena ningún número de teléfono.

El objetivo de esta aplicación es proteger a los usuarios y asegurarnos de que sus dispositivos con Android no serán afectados por esta vulnerabilidad. Nos complace poner a disponibilidad de todos los usuarios de Android esta aplicación de manera gratuita y concientizar a los usuarios acerca de cómo proteger sus dispositivos móviles.

La publicación de herramientas como ESET USSD Control permite detener la ejecución de un código malicioso en un sistema de una manera proactiva. Por estos motivos recomendamos a los usuarios de Android protegerse contra este tipo de ataques y poder utilizar su dispositivos móviles sin tener que preocuparse de que la información sea borrada mediante un ataque utilizando códigos USSD.

Pablo Ramos
Security Researcher