Detectan dos nuevas vulnerabilidades en Android
Según investigadores de Curesec, las vulnerabilidades halladas en versiones anteriores de Android KitKat 4.4.4 permitirían a una aplicación maliciosa realizar llamadas de teléfono, contestar llamadas legítimas, o enviar códigos USSD o MMI.
- G-Data descubre un smartphone Android chino con malware de fábrica
- Un troyano encripta archivos en dispositivos Android y pide rescate
- El troyano Funtasy ataca activamente a usuarios españoles de Android
- Un troyano ransomware, nueva amenaza para los usuarios de Android
- Este año se venderán 1.200 millones de smartphones, el 80 por ciento Android
Marco Lux y Pedro Umbelino, de Curesec, han descubierto dos vulnerabilidades en Android que podrían ser explotadas por una aplicación maliciosa, permitiendo la realización de llamadas a números de tarificación especial sin permiso del usuario o descolgar las llamadas legítimas recibidas en el terminal. También existe el riesgo de que pueda enviar códigos USSD/MMI, con los que se podría desde bloquear la tarjeta SIM a habilitar o deshabilitar la opción de llamadas anónimas.
La primera vulnerabilidad reside en ‘com.android.phone’, y afecta a la forma de realizar y recibir llamadas. Los investigadores señalan que también podría ser explotada para enviar mensajes SMS. La segunda vulnerabilidad está en ‘PhoneApp.Java’, y tiene que ver con el envío de códigos USSD o MMI.
Al parecer, ambas vulnerabilidades se presentan en todas las versiones del sistema operativo desde Android 4.1.1 Jelly Bean hasta Android 4.4.2 KitKat, y todo parece indicar que se han corregido en la última versión 4.4.4.