BlueStacks Contenía Varias Vulnerabilidades De Seguridad "severas": ¿El Popular Emulador De Android Para Dispositivos Móviles Y PC Permitió La Ejecución Remota De Código?

2023 Autor: Kayla Nelson | [email protected]. Última modificación: 2023-06-06 12:47

BlueStacks, uno de los emuladores de Android para PC y móviles más populares y ampliamente utilizados, tenía varias vulnerabilidades de seguridad graves. Estos errores permitieron a los atacantes realizar la ejecución remota de código arbitrario, obtener acceso a información personal y robar copias de seguridad de la máquina virtual (VM) y sus datos.

BlueStacks, el emulador gratuito de Android respaldado por inversores como Intel, AMD, Samsung y Qualcomm, reveló la existencia de las vulnerabilidades. Estos errores, si se explotan correctamente, podrían potencialmente otorgar a los atacantes una forma de ejecutar código de forma remota en sistemas vulnerables. Dado que BlueStacks es uno de los emuladores de Android más utilizados, el riesgo para los usuarios ha sido bastante severo. Si eso no es lo suficientemente preocupante, las vulnerabilidades también podrían permitir a los atacantes instalar de forma remota aplicaciones maliciosas de Android comúnmente distribuidas a través de APK.

La compañía detrás del emulador publicó un aviso de seguridad que mencionaba la existencia de un error de seguridad grave. Con la etiqueta oficial CVE-2019-12936, la vulnerabilidad existe dentro del mecanismo IPC de BlueStacks y una interfaz IPC. En esencia, estaba la inexistencia de protocolos de autenticación correctos y completos. El error ha recibido una puntuación CVSS de 7.1, que es mucho más baja que la vulnerabilidad de seguridad de Oracle WebLogic Server que informamos recientemente. El aviso decía: “Un atacante puede usar DNS Rebinding para obtener acceso a la página web maliciosa del mecanismo IPC de BlueStacks App Player. A partir de ahí, se pueden abusar de varias funciones de IPC expuestas .

Error de ejecución de código remoto al acecho en el emulador de Android BlueStacks https://t.co/sBR3gURgqD por @SecurityCharlie

- ZDNet (@ZDNet) 26 de junio de 2019

Esencialmente, la falla de seguridad permite a los atacantes utilizar la Rebinding de DNS. El funcionamiento está en el script del lado del cliente para convertir el navegador del objetivo en un proxy para los ataques. La falla otorgó acceso al mecanismo de IPC de BlueStacks App Player. Una vez explotada, la falla permitiría la ejecución de funciones que luego podrían usarse para una variedad de ataques diferentes que van desde la ejecución remota de código hasta la divulgación de información. En otras palabras, la explotación exitosa del error podría conducir a la ejecución remota de código malicioso, filtraciones masivas de información de la víctima y el robo de copias de seguridad en el emulador. La falla también podría usarse para instalar APK sin autorización en la máquina virtual BlueStacks. Por cierto, la amenaza a la seguridad parece estar limitada a la víctima y aparentemente no se puede propagar utilizando la instalación de BlueStacks o la máquina de la víctima como zombi.

¿Qué versiones de BlueStacks se ven afectadas por la vulnerabilidad de seguridad?

Es impactante notar que el ataque simplemente requiere que el objetivo visite un sitio web malicioso. La vulnerabilidad de seguridad existe en la versión 4.80 e inferior del BlueStacks App Player. La empresa ha publicado un parche para resolver la vulnerabilidad. El parche actualiza la versión de BlueStacks a 4.90. Se recomienda a los usuarios del emulador que visiten el sitio web oficial para instalar o actualizar su software.

Es un poco preocupante notar que BlueStacks no actualizará esta solución a las versiones 2 o 3. En otras palabras, BlueStacks no desarrollará un parche para las versiones arcaicas del emulador. Aunque es muy poco probable que haya muchos usuarios que se apeguen a estas versiones antiguas, se recomienda encarecidamente que los usuarios actualicen a la última versión de BlueStacks lo antes posible para salvaguardar sus instalaciones y datos.

BlueStacks Flaw permite a los atacantes controlar remotamente el emulador de Android https://t.co/Pb9rfYeEIx #cybersecurity #threatintelligence pic.twitter.com/tTgdjtVxif

- Cyber Report (@cyberreport_io) 25 de junio de 2019

Es interesante notar que BlueStacks era vulnerable al ataque de Rebinding de DNS porque expuso una interfaz IPC en 127.0.0.1 sin ninguna autenticación. Esto permitió que un atacante usara DNS Rebinding para ejecutar comandos remotos al servidor IPC del emulador BlueStacks, informó Bleeping Computer. El ataque también permitió la creación de una copia de seguridad de la máquina virtual BlueStacks y todos los datos que contenía. No hace falta agregar que la copia de seguridad de datos podría incluir fácilmente información confidencial, incluidas las credenciales de inicio de sesión en varios sitios web y plataformas, y otros datos del usuario.

BlueStacks ha parcheado con éxito la vulnerabilidad de seguridad mediante la creación de una clave de autorización de IPC. Esta clave segura ahora se almacena en el Registro de la computadora en la que está instalado BlueStacks. En el futuro, cualquier solicitud de IPC que reciba la máquina virtual debe contener la clave de autenticación. Si no contiene esta clave, la solicitud de IPC se descartará, lo que evitará el acceso a la máquina virtual.