OASAM-UIR-003: Service Hijacking

Descripción
Aprovechando esta vulnerabilidad, un Service malicioso es ejecutado en lugar del esperado. Esto sucede cuando la carga de un Service depende de un Intent implícito. El atacante registra un Intent Filter más preciso y toma el control. La persistencia de esta vulnerabilidad es mayor, ya que es transparente al usuario porque los servicios no incorporan interfaz gráfica para el mismo.


Riesgos
La presencia de esta vulnerabilidad permite la fuga de información que maneje el Service implicado.
Adicionalmente, esta vulnerabilidad le permite al atacante alterar los datos, por lo que pone en riesgo la integridad de los mismos.


Recomendaciones
Se recomienda evaluar la necesidad de enviar Intents implícitos. Para comunicar Intents dentro de una aplicación, es siempre recomendable el uso de Intent explícitos. Si es necesario enviar datos sensibles dentro de un Intent, se recomienda protegerlos mediante el establecimiento de permisos y el uso de cifrado para dichos datos


Referencias
1. Flaw 3.1.3 de “Analyzing Inter-Application Communication in Android”
2. Flaw 25 de “42+ Best parctices in secure mobile development for iOS and Android”