Miguel Ángel Jimeno es un joven aprendiz de seguridad informática de La Rioja que con 17 años se ha abierto un blog llamado "Researching for fun" en el que está publicando los primeros bugs de XSS que ha encontrado. Por el momento ha publico un Stored XSS en Avast, un XSS en Tumblr, un XSS en Shaukk y un Stored XSS en un dominio de Google usando un fichero en Flash. El último de sus descubrimientos fue un fallo de tipo HTML Injection en la aplicación Play Store de Android que reportó al equipo de Google. Han pasado un par de meses y parece que ya debería estar arreglado, así que aquí está la información del bug y su experiencia en el reporte del mismo.
HTML Injection en la aplicación Google Play Store
Para reproducir el fallo se debe ir desde el terminal Android en Play Store a Mis Aplicaciones y pulsar sobre cualquier aplicación. Se selecciona la opción para dar tu opinión y solo es necesario rellenar un número aleatorio de estrellas, poner el resumen que quieras y en el apartado que dice “Comentar” escribir cualquier código HTML. Para la prueba de concepto yo utilicé <img src=”a”/>. Y ya puedes publicar el comentario con el HTML Injection.
En este ejemplo se puede ver un cuadrado con la imagen en fondo azul claro, que demuestra que se podía inyectar un código HTML en el comentario. Esto solamente es una prueba de concepto, pero podría publicarse casi cualquier etiqueta HTML, sirva como ejemplo publicidad de una app infectada propia entre etiquetas, seguro que más de un curioso la descargaría, o como forma de distribuir troyanos para terminales Android. La prueba está hecha con un Nexus 4 en 4.4.2.
Como información, les dejo cómo fue la cronología del reporte por si alguien tiene una experiencia similar. Tras varias respuestas automáticas se pasa el fallo al equipo de seguridad de Android el 14/12/2013.
Autor:
Miguel Ángel Jimeno (@migueljimeno96)
HTML Injection en la aplicación Google Play Store
Para reproducir el fallo se debe ir desde el terminal Android en Play Store a Mis Aplicaciones y pulsar sobre cualquier aplicación. Se selecciona la opción para dar tu opinión y solo es necesario rellenar un número aleatorio de estrellas, poner el resumen que quieras y en el apartado que dice “Comentar” escribir cualquier código HTML. Para la prueba de concepto yo utilicé <img src=”a”/>. Y ya puedes publicar el comentario con el HTML Injection.
 |
| Figura 1: Publicando un comentario con HTML Injection en Play Store |
En este ejemplo se puede ver un cuadrado con la imagen en fondo azul claro, que demuestra que se podía inyectar un código HTML en el comentario. Esto solamente es una prueba de concepto, pero podría publicarse casi cualquier etiqueta HTML, sirva como ejemplo publicidad de una app infectada propia entre etiquetas, seguro que más de un curioso la descargaría, o como forma de distribuir troyanos para terminales Android. La prueba está hecha con un Nexus 4 en 4.4.2.
 |
| Figura 2: El comentario queda publicado |
Como información, les dejo cómo fue la cronología del reporte por si alguien tiene una experiencia similar. Tras varias respuestas automáticas se pasa el fallo al equipo de seguridad de Android el 14/12/2013.
Hello,
Thank you for the report, I have forwarded it on to the Android security team.Se pasa el caso al equipo encargado del Play Store el 16/12/2013:
Regards,
Thank you very much for the report, Miguel. I've forwarded it to the Google Play team. I'll keep you posted.
Best Regards,Desde el Android Security Team el día 26/12/2013 dicen estar probando un parche:
Hi Miguel,
The Play team is now testing a fix -- I should know the expected live date for the change soon after the holidays.
Thanks,El 7/2/2014 dicen que el fallo debería estar ya arreglado, aunque aún no sé cómo y dónde, pues parece que aún funciona.
Hi Miguel,
This issue should now be fixed. Thank you very much for your assistance.Tras preguntar sobre mi elegibilidad para el Hall of Fame de Google, obtengo esta respuesta:
Android Security Team
Hi Miguel,
We appreciate you reporting this issue to us, but unfortunately most non-web applications other than Google Wallet and Google Chrome are excluded from the Vulnerability Rewards Program. More info on what's in scope for the program is available here: http://www.google.com/about/appsecurity/reward-program/index.html. Thanks!
Regards,Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas. Mi conclusión: si deseo alguna recompensa por parte de Google, debo seguir intentándolo, pero al menos fui capaz de encontrar un fallo en un software de Google, lo que no está nada mal.
Autor:
Miguel Ángel Jimeno (@migueljimeno96)
No hay comentarios:
Publicar un comentario