Oscar's Blog

Blog de Oscar Valenzuela - GNU con Linux, Free Software, Android, Hacking

La historia de un riojano de 17 años que detectó un fallo de seguridad en Google Play Store

13 Feb 2014


play_store

Hoy vamos a hablar de un chaval de tan sólo 17 años, de Santo Domingo de la Calzada, en La Rioja. Se llama Miguel Ángel Jimeno, y se trata de un enamorado de la seguridad en aplicaciones web, el cual dedica parte de su tiempo a investigar vulnerabilidades.

Para dejar sello de lo que hace referente a la seguridad, se ha abierto  en enero de este mismo año un blog llamado Researching for fun. En él, va explicando aquellas vulnerabilidades que va encontrando en productos de famosas compañías.

Su forma de publicar es sencilla: nos cuenta cómo reproducir el problema y qué le responden tras reportarlo a la compañía en cuestión.

Ha publicado ya varios problemas, tales como un Stored XSS en un dominio de Google o un Stored XSS en eBay, entre otros, ahora ha encontrado uno más relacionado con Android, concretamente con Play Store. Se trata de un fallo de inyección HTML en la propia aplicación Play Store.

Para reproducir el fallo, basta abrir Play Store, irnos a Mis Aplicaciones y entrar en cualquiera de las aplicaciones que tenemos instaladas. Una vez allí, basta con que demos nuestra valoración de la aplicación, pero de una manera un tanto especial: elegiremos el número de estrellas que queramos, pero a la hora de introducir un comentario, escribiremos cualquier código HTML, como por ejemplo , el código que Miguel Ángel utilizó de ejemplo (básicamente una etiqueta para añadir una imagen en HTML). A continuación, publicamos nuestro comentario. En el caso de Miguel Ángel, la prueba se hizo con un Nexus 4 con Android KitKat 4.4.2.

HTML Inyeccion Play Store HTML Inyeccion Play Store 2

Como se puede observar, podemos ver nuestra imagen añadida, pero esto podría ser algo mucho más grave, pues podríamos llegar a inyectar cualquier tipo de código, incluyendo desde publicidad hasta encontrar formas de distribuir troyanos para terminales Android.

A partir de ahí, Miguel Ángel reportó el problema y el fallo se pasó al equipo de seguridad de Android el 14 de diciembre de 2013 tras varias respuestas automáticas:

Hola,

Gracias por tu reporte. Lo he reenviado al equipo de seguridad de Android.

Saludos.

Dos días más tarde, se pasó el caso al equipo encargado de Play Store:

Muchas gracias por tu reporte, Miguel. Lo he reenviado al equipo de Google Play. Te mantendremos informado.

Saludos.

El 26 del mismo mes, ya respondieron diciendo estar probando un parche:

Hola Miguel,

El equipo de Google Play está ahora testeando un parche — Debería saber la fecha esperada de liberación del cambio pronto después de las vacaciones.

Gracias.

Y así fue, el reciente 7 de febrero de 2014, le respondieron diciendo que el fallo debería estar ya arreglado:

Hola Miguel,

El problema debería ahora estar resuelto. Muchas gracias por tu asistencia.

El equipo de seguridad de Android

Esta es una historia más en las investigaciones que realiza Miguel, que tras haber detectado ya un par de fallos a Google, desde la compañía no todos sus productos están dentro del Programa de Recompensas a Vulnerabilidades de Google, por lo que Miguel deberá esperar y seguir intentándolo.

A pesar de ello, para Miguel Ángel lo que es motivo de orgullo es conseguir detectarle un fallo de seguridad a la gran G.

Desde aquí, quiero felicitar a todas aquellas personas que sin ningún tipo de ánimo de lucro intentan detectar fallos y simplemente se dedican a reportarlos, para el beneficio del resto de usuarios.

Y particularmente en este caso, no habría estado nada mal el detalle por parte de Google incluyendo a Miguel en su Programa de recompensas. ¿Qué opináis vosotros?

**Fuente Researching for fun**

El artículo La historia de un riojano de 17 años que detectó un fallo de seguridad en Google Play Store se publicó en El Androide Libre (El Blog Android de referencia. Aplicaciones, noticias, Juegos y smartphones Android Libres)