¿Cómo verificar si MitM actualizó su aplicación de Android?

Navega tus respuestas
6

Mientras navegaba en mi teléfono ayer, apareció una ventana emergente gris en mi pantalla justo cuando estaba deslizando hacia arriba, y accidentalmente presioné el botón de aceptar. En la fracción de segundo que estaba encendido pude leer algo como Are you sure you want to allow <large block of code filling my screen> .

Inmediatamente, las aplicaciones Redphone y Signal (ambas aplicaciones son para comunicación segura) comenzaron a actualizarse.

Como precaución, reinicié, los desinstalé y luego los reinstalé desde Play Store. Después de un tiempo, se "actualizan" de nuevo automáticamente. Esto podría ser una coincidencia, pero me huele a pescado.

¿Hay alguna forma de verificar el hash de una aplicación en Android? ¿Podría haber aprobado el certificado de algún adversario o algo así? Ejecuto Cyanogenmod, si eso importa.

Soy un activista y asisto regularmente a las protestas, pero nunca hago nada emocionante, por lo que en lo que respecta a los modelos de amenazas, no tengo ninguna razón para creer que a nadie le gusten mis conversaciones. Probablemente no sea nada, pero me gustaría tener la tranquilidad.

Lo siento si esto ya está respondido. Busqué sin éxito, pero puede ser que no conozca las palabras clave correctas para usar.

    
pregunta crypdick 03.11.2015 - 22:07
fuente

3 respuestas

3

Dado que sus aplicaciones se descargaron de Play Store, puede consultar la fecha de su última actualización simplemente visitando la página de su tienda:

  • Desde la aplicación Play Store: toca 'Leer más' en la descripción de la aplicación, desplázate hasta la parte inferior y busca 'Actualizado en'
  • Desde el navegador: busque "Información adicional" en la parte inferior, hay una fecha de "Actualización".

Para su caso, tanto RedPhone como Signal son desarrollados por el mismo desarrollador y actualizados el 2 de noviembre (a partir de la publicación actual). Creo que es realmente una coincidencia, ya que observo que el tiempo de actualización de Play Store es arbitrariamente aleatorio.

Si aún no está seguro, puede verificar el hash del archivo APK enviando el archivo en Total de virus . Necesitas acceso de root para ubicar el APK (la ruta se verá como /data/app/<package name>/base.apk . El nombre del paquete se puede encontrar en el enlace de Play Store). Además, debe solicitar la confirmación del hash correcto al desarrollador para su confirmación.

Nota adicional: incluso si se tratara de MitM, la aplicación de Android solo se puede actualizar si utiliza el mismo certificado para firmar la aplicación . Si falla, se producirá una actualización fallida (con el mensaje de error " La aplicación no está instalada. Ya está instalado un paquete con el mismo nombre con una firma en conflicto. ", o INSTALL_PARSE_FAILED_INCONSISTENT_CERTIFICATES en ADB). Esto no sucederá, a menos que el atacante sea el desarrollador (es posible, pero es poco probable que sea un desarrollador de buena reputación), o si el atacante tiene el certificado (es poco probable y es un problema crítico para el desarrollador).

    
respondido por el Andrew T. 09.11.2015 - 03:31
fuente
2

Android requiere que las actualizaciones de la aplicación estén firmadas por la misma clave que la aplicación original. Por lo tanto, a menos que los desarrolladores hayan sido comprometidos, un MITM no podrá actualizar las aplicaciones existentes. Tenga en cuenta que este proceso no tiene relación alguna con los certificados SSL. Los certificados de firma de aplicaciones son autofirmados y no confían en las autoridades de certificación para su confianza.

Parece que acaba de obtener una aplicación legítima normal de Play Store.

    
respondido por el Antimony 17.05.2016 - 00:22
fuente
1

La única forma de estar seguro, sería obtener una copia forense del teléfono cuando esté en un estado "limpio" y luego compararla con lo que podría clasificar como estado sospechoso. Si crees que ha sido empeñado, entonces recomendaría consultar con un experto forense.

    
respondido por el Justin Andrusk 04.11.2015 - 21:38
fuente

Lea otras preguntas en las etiquetas

¿El cifrado oportunista de HTTP / 2 permite potencialmente ataques de intermediario? ¿Cómo puedo detectar el sistema operativo remoto?