La firma de seguridad Bluebox Security ha descubierto una vulnerabilidad en el modelo de seguridad de Android que afecta a aproximadamente 900 millones de los teléfonos Android lanzados en los últimos cuatro años y que deja al 99% de los dispositivos Android vulnerables a todo tipo de explotaciones maliciosas.
La vulnerabilidad al parecer, ha estado presente en Android desde Android v1.6 (Donut), y fue divulgada por la empresa a Google en febrero.
La vulnerabilidad al parecer permite convertir una aplicación legítima en un troyano malicioso mediante la modificación del código APK y sin romper la firma criptográfica de la aplicación.
Bluebox dice el fallo explota algunas discrepancias en la forma en que las aplicaciones Android son criptográficamente verificadas e instaladas. Específicamente, permite a un hacker cambiar el código de una aplicación, dejando su firma criptográfica sin cambios y engañando a Android para que crea que la aplicación no ha sido cambiada. Esto a su vez se traduce en poder absoluto para que un individuo mal intencionado provoque caos a placer.
El problema se agrava si el atacante decide utilizar un sub-conjunto de aplicaciones desarrolladas por los propios fabricantes de dispositivos por terceros, ya que este tipo de aplicaciones tienen acceso a los UIDs del sistema. de manera que este tipo de aplicaciones permiten a un hacker aprovechar mucho más que meros datos de la aplicación, con el potencial para robar contraseñas e información de la cuenta y apoderarse del control del teléfono.
Pero no nos alarmemos, si bien es cierto que el hecho de que el 99% de los teléfonos Android son técnicamente vulnerables a los hackers de aplicaciones es una estadística difícil de ignorar, vale la pena subrayar que el hecho de que exista tal vulnerabilidad, no quiere decir que dicha vulnerabilidad vaya a ser ampliamente explotada.
Lo mejor es ver todo el asunto como una lotería, una lotería grotesca en la que te puede tocar ser una víctima o no.
Mientras tanto, Bluebox recomienda a los propietarios de dispositivos Android para que sean muy prudentes en la identificación del editor de la aplicación que desean descargar. Y si es posible sólo descargar aplicaciones desde Google Play, y evitar los sitios de terceros.
Por otro lado, si bien Google recién ha modificado el proceso de entrada de las aplicaciones en la tienda Play Store para que las aplicaciones que se han modificado usando este exploit se bloqueen y no puedan ser distribuidos a través de la Play Store, la realidad es que Google es muy lento a la hora de corregir los defectos de seguridad de Android, y el hecho de que este fallo venga siendo arrastrado desde Android 1.6 lo demuestra.