miércoles, febrero 12, 2014

HTML Injection en la aplicación Google Play Store

Miguel Ángel Jimeno es un joven aprendiz de seguridad informática de La Rioja que con 17 años se ha abierto un blog llamado "Researching for fun" en el que está publicando los primeros bugs de XSS que ha encontrado. Por el momento ha publico un Stored XSS en Avast, un XSS en Tumblr, un XSS en Shaukk y un Stored XSS en un dominio de Google usando un fichero en Flash. El último de sus descubrimientos fue un fallo de tipo HTML Injection en la aplicación Play Store de Android que reportó al equipo de Google. Han pasado un par de meses y parece que ya debería estar arreglado, así que aquí está la información del bug y su experiencia en el reporte del mismo.

Saludos Malignos!

HTML Injection en la aplicación Google Play Store

Para reproducir el fallo se debe ir desde el terminal Android en Play Store a Mis Aplicaciones y pulsar sobre cualquier aplicación. Se selecciona la opción para dar tu opinión y solo es necesario rellenar un número aleatorio de estrellas, poner el resumen que quieras y en el apartado que dice “Comentar” escribir cualquier código HTML. Para la prueba de concepto yo utilicé <img src=”a”/>. Y ya puedes publicar el comentario con el HTML Injection.

Figura 1: Publicando un comentario con HTML Injection en Play Store


En este ejemplo se puede ver un cuadrado con la imagen en fondo azul claro, que demuestra que se podía inyectar un código HTML en el comentario. Esto solamente es una prueba de concepto, pero podría publicarse casi cualquier etiqueta HTML, sirva como ejemplo publicidad de una app infectada propia entre etiquetas, seguro que más de un curioso la descargaría, o como forma de distribuir troyanos para terminales Android. La prueba está hecha con un Nexus 4 en 4.4.2.

Figura 2: El comentario queda publicado

Como información, os dejo cómo fue la cronología del reporte por si alguien tiene una experiencia similar. Tras varias respuestas automáticas se pasa el fallo al equipo de seguridad de Android el 14/12/2013.
Hello, 
Thank you for the report, I have forwarded it on to the Android security team.

Regards,
Se pasa el caso al equipo encargado del Play Store el 16/12/2013:
Thank you very much for the report, Miguel. I've forwarded it to the Google Play team. I'll keep you posted. 
Best Regards,
Desde el Android Security Team el día 26/12/2013 dicen estar probando un parche:
Hi Miguel, 
The Play team is now testing a fix -- I should know the expected live date for the change soon after the holidays. 
Thanks,
El 7/2/2014 dicen que el fallo debería estar ya arreglado, aunque aún no sé cómo y dónde, pues parece que aún funciona.
Hi Miguel, 
This issue should now be fixed. Thank you very much for your assistance.

Android Security Team
Tras preguntar sobre mi elegibilidad para el Hall of Fame de Google, obtengo esta respuesta:
Hi Miguel, 
We appreciate you reporting this issue to us, but unfortunately most non-web applications other than Google Wallet and Google Chrome are excluded from the Vulnerability Rewards Program. More info on what's in scope for the program is available here: http://www.google.com/about/appsecurity/reward-program/index.html. Thanks! 
Regards,
Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas. Mi conclusión: si deseo alguna recompensa por parte de Google, debo seguir intentándolo, pero al menos fui capaz de encontrar un fallo en un software de Google, lo que no está nada mal.

Autor:
Miguel Ángel Jimeno (@migueljimeno96)

14 comentarios:

zhemn dijo...

Ahora cuando empiecen a enlazar con páginas "sexualmente explicitas" xDDD lo mismo se lo toman de otra manera. Buen trabajo del chaval, no se me habría ocurrido.

Anónimo dijo...

Buenos dias!
Buen curro, en donde menos te lo esperas salta la liebre, joder que pasada, no veas con google! es p... un coladero! Muchas gracias por la info! Salu2 Dr.Maligno!

Daniel Roman dijo...

Google.... ZAS!! En toda la boca :)

BugHunters inc. dijo...

@migueljimeno96: Good finding! & Keep it up!

Simplemente algunas correcciones para el autor.

Respecto a: "Más o menos yo imaginaba ya la respuesta cuando leí los términos de su programa de recompensas."

Vuélvelos a leer porque esto acaba de revisarse hace días [1]

Con lo cual ese bug, reportado hoy, sí que hubiera sido recompensado.

De todas formas yo mandaría un mail de nuevo a ver si cuela. Creo que serían solo $100 [2] pero buenos son para ir empezando :-)

Saludos!

[1]http://googleonlinesecurity.blogspot.com/2014/02/security-reward-programs-update.html
[2]http://www.google.com/about/appsecurity/reward-program/

Anónimo dijo...

Hice el teste y para codigos de redirecionamiento de paginas parece no estar funcionando :P

Pr0ph3t dijo...

Hace unos meses reporté la misma vulnerabilidad en dos aplicaciones de Yahoo y me dijeron que no eran para nada peligrosas. Ahí siguen.

Saludos.

Anónimo dijo...

17 años, sí señor; que no digan que la juventud de hoy en día no se aplica. Ánimo al chico, que no decaiga esa actitud.

Saludos.

Jaime Manteiga dijo...

Esa "vuln" yo la reporte hace bastante tiempo, incluso se puede llegar a explotar un poco mas pero nunca llegue a ejecución arbitraria de código JS así que para los términos de google no es una vulnerabilidad lo suficientemente grave como para prestarle atención.

En cambio para OWASP si es una vulnerabilidad: https://www.owasp.org/index.php/HTML_Injection

PoC:
http://i.imgur.com/rLert2N.png
http://i.imgur.com/7Dz6rUs.jpg
http://i.imgur.com/D7acKLy.png

Lo que gane por parte de Google es que me banearan la cuenta de desarrollador y que nunca mas pude publicar aplicaciones para Android.

Jaime dijo...

Olvide poner las de la aplicación de Android:

-http://i.imgur.com/jfqmUuW.jpg
-http://i.imgur.com/W8a6J1J.jpg

Miguel Ángel Jimeno Arce dijo...

Bueno, tras ver las imágenes creo que tu fallo es otro, el mío solo se reproduce en el terminal. Pero bueno, digamos que he copiado el fallo y Chema debe borrar la entrada o decir que la he plagiado, ¿no?
Un "saludo".

Miguel Ángel Jimeno Arce dijo...

De hecho, mi fallo está en lls comentarios o críticas de la App, no en la descripción.
Miguel Ángel Jimeno.

Jaime dijo...

Miguel Ángel Jimeno Arce Aquí nadie a copiado a nadie :-) , me alegro mucho que hayas encontrado ese bug y otros muchos mas interesantes que he visto en tu blog, solo me refería al tema de Google que recuerdo haberme cabreado porque me bloquearon la cuenta de desarrollador.

Anónimo dijo...

Mi conclusión es que no hay que trabajar de gratis o esperando una galleta a cambio por caridad.

Lástima que no recibiste la recompensa que merecías.

Anónimo dijo...

Alberto es GAY XD

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares