Debido a su dominio como plataforma móvil, el sistema operativo Android de Google ha sido desde siempre un objetivo para los ciberdelincuentes, y una debilidad recién descubierta en la forma en la que el sistema operativo maneja la validación de certificados, dejó a millones de dispositivos Android expuestos a todo tipo de ataques.
Los investigadores de seguridad de BlueBox, la compañía que identificó la vulnerabilidad, conocida como Fake ID, afecta a todas las versiones del sistema operativo Android desde la versión 2.1 (lanzado en 2010) hasta Android 4.4 Kitkat. Es decir, todas las versiones de Android.
Los investigadores marcaron la vulnerabilidad como crítica, ya que podría permitir que una aplicación falsa y maliciosa se haga pasar por una aplicación legítima y de confianza, lo que permite a un atacante realizar diversas acciones como insertar código malicioso en una aplicación legítima, infiltrándose en tu información personal o incluso tomar el control completo de un dispositivo afectado.
El nombre de «Fake ID» (ID falso) se debe al hecho de que permite que las aplicaciones maliciosas pasen credenciales falsas al sistema operativo Android, el cuál fallará al intentar verificar adecuadamente la firma criptográfica de la aplicación. En su lugar, el sistema operativo le otorga todos los permisos de acceso a la aplicación falsa que se hace pasar por una aplicación legítima.
En realidad, para determinar la identidad del desarrollador de la aplicación, las aplicaciones de Android están firmadas con certificados digitales. Pero debido a la vulnerabilidad Fake ID, el instalador de la aplicación Android no intenta autenticar la cadena de certificados de una aplicación determinada, lo que significa que el atacante puede construir una aplicación con una identidad falsa y hacerse pasar por ella con amplios privilegios como un plugin de Adobe o Google Wallet.
Google ya lanzó un parche en abril. Sin embargo, todavía hay millones de teléfonos por ahí que todavía son vulnerables, ya que depende de los fabricantes y las operadoras de telefonía el hacer que los cambios lleguen los usuarios.
Para saber si tu teléfono ha sido afectado, Bluebox ha lanzado un escáner para detectar la vulnerabilidad y posteriormente eliminarla.