500 millones de dispositivos Android afectados por accessibility clickjacking

Los cofundadores de la empresa de seguridad móvil Skycure, Adi Sharabani y Yair Amit, anunciaron en la conferencia RSA en San Francisco que un nuevo tipo de malware pone en riesgo a una gran mayoría de los usuarios de dispositivos Android. Llamado “accessibility clickjacking”, es hasta ahora uno de los métodos más ingeniosos de acceso a un teléfono de otra persona.

Como explica Skycure, clickjacking es una técnica que engaña a las víctimas para hacer clic en un elemento que posiblemente no aparezca como tal en la pantalla. Al superponer algo relativamente “normal” en la pantalla, el usuario podría estar permitiendo el acceso manualmente a su teléfono sin conocer la diferencia.

“Accessibility clickjacking puede permitir que las aplicaciones maliciosas accedan a toda la información sensible basada en texto en un dispositivo Android infectado, así como tomar acciones automatizadas a través de otras aplicaciones o el sistema operativo sin el consentimiento de la víctima”, explica Skycure. “Esto incluiría todos los correos electrónicos personales y de trabajo, mensajes SMS, datos de aplicaciones de mensajería, datos sensibles en aplicaciones de negocios tales como el software de CRM (Sistema para la gestión de clientes), el software de automatización de marketing y mucho más.”

El aspecto más preocupante de este descubrimiento es que Skycure fue capaz de replicar la vulnerabilidad en el 65% de dispositivos Android, básicamente en cualquier sistema entre Android 2.2 Froyo y Android 4.4 KitKat. A menos que estés actualizado a Lollipop o superior, podrías ser víctima de Accessibility clickjacking en el futuro.

Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2781