Un fallo permite modificar aplicaciones de Android
Una vulnerabilidad, presente en Android desde hace cuatro años, permite a los hackers modificar cualquier aplicación firmada digitalmente y transformarla en un troyano.
Analistas de la compañía de seguridad móvil de San Francisco, Bluebox Secutiry, han detectado el error y lo presentarán en todo detalle en Black Hat, la conferencia de seguridad que se celebra en Las Vegas a finales de este mes.
El fallo es debido a discrepancias en la forma de verificar criptográficamente las aplicaciones Android, lo que permitiría a un atacante modificar los paquetes de aplicaciones (APKs) sin romper las firmas criptográficas de las mismas.
Cuando se instala una app y ésta crea una “zona aislada” (sandbox), Android registra la firma digital de esta aplicación, señala el director de BlueBox, Jeff Forristal. Todas las actualizaciones posteriores de la misma deben coincidir con esta firma, para verificar que proceden del mismo autor, prosigue el experto.
Este es un hecho relevante para el modelo de seguridad de Android, porque asegura que los datos sensibles guardados por una aplicación en su zona aislada solo pueden ser accesibles a nuevas versiones de esa aplicación que estén firmadas con la clave del autor original.
La vulnerabilidad, que existe desde al menos la versión de Android 1.6, llamada Donut, permite añadir código infectado a la APKs ya firmadas, sin romper sus firmas de seguridad.
Esto supone que potencialmente puede afectar a cualquier dispositivo Android, que haya sido vendido en los últimos cuatro años, según han manifestado los investigadores en un reciente post. “Dependiendo del tipo de aplicación, un pirata puede explotar este fallo para cualquier cosa, desde robar datos a crear una red botnet móvil”, destacan en el mismo.
Incluso puede emplearla para tener acceso total al sistema, si se modifica y distribuye una app originalmente desarrollada por el fabricante del móvil y firmado con la clave de la
plataforma (el código que los fabricantes utilizan para el firmware de cualquier equipo).
Los piratas pueden más tarde emplear varios métodos para distribuir estas “apps troyanas”, incluyendo el correo electrónico o la inclusión en la tienda de apps de un tercero, o alojándolas en cualquier web.
Utilizar Google Play para distribuir apps que hayan sido modificadas para explotar este fallo ya no es posible, ya que Google ha actualizado la aplicación de entrada a su tienda de apps para bloquear las unidades que tengan este problema, asegura Forristal, quien mantiene que la información proporcionada por esta compañía sugiere que no hay apps actualmente en su tienda online con este problema.
Google ya fue advertida de este error el pasado mes de febrero y la compañía compartió la información con sus principales partners, incluyendo los miembros de la Open Handset Alliance. Uno de ellos, Samsung ya ha incluido un parche en su Galaxy S4, lo que indica que algunos fabricantes ya han comenzado a cerrar la vulnerabilidad.
Esta es una información de Lucian Constantin. IDG News Service
