Un fallo en Android abre de nuevo la puerta a la entrada de malware, en este caso haciéndose pasar por actualizaciones de aplicaciones legítimas. El problema ha sido bautizado como Fake ID y, aunque Google asegura haberlo solucionado, hay millones de móviles que todavía podrían sufrir la vulnerabilidad.

Fake ID lleva con nosotros desde 2010. Afecta a Android desde la versión 2.1 a la 4.4. En abril de este año, Google publicó una actualización de Kit Kat que soluciona el agujero de seguridad pero, según datos de la propia compañía, el 82,1% de los smartphones Android funcionan sobre versiones no actualizadas.

Advertisement

Bluebox Labs, que es la empresa que ha descubierto Fake ID, señala que el fallo está en como Android comprueba los permisos de seguridad de las aplicaciones instaladas. El sistema operativo otorga certificados de seguridad a las aplicaciones para que estas tengan acceso a diferentes partes del teléfono y datos del usuario. Sin embargo, los certificados a veces se establecen en cadena. En otras palabras, hay aplicaciones cuya identificación remite a un certificado de seguridad "padre". Si, por ejemplo, tenemos ya instalada una aplicación con el certificado de seguridad de Adobe Systems, una segunda aplicación supuestamente de Adobe puede remitir a este certificado para identificarse.

Se supone que Android verifica el certificado de seguridad "hijo" contrastándolo con el de su "padre", pero en Bluebox aseguran que no es así. Un malware disfrazado de aplicación legítima con un certificado de seguridad que aluda a otro puede colarse en el smartphone.

Advertisement

El daño que esta puerta trasera podría ocasionar depende del malware, pero puede ser extenso. Bluebox cita, por ejemplo, al Adobe System webview plugin, un módulo que podría ser usado para inocular software malicioso en otras aplicaciones. La vulnerabilidad, en definitiva, podría ser usada para revelar datos de Google Wallet por NFC, para cosechar información personal de aplicaciones de redes sociales, o para tomar control de ciertas aplicaciones.

Desde Google aseguran que ya han liberado un parche para sus asociados y en Android Open Source Project que soluciona el problema. La compañía asegura que, tras escanear las aplicaciones de Google Play, no tienen constancia de que haya habido intentos de aprovechar Fake ID con malas intenciones. Según Google, en definitiva, el problema está resuelto. Bluebox ofrece su aplicación de seguridad para escanear nuestro dispositivo y comprobar si está en riesgo. [Bluebox vía The Guardian]

Imagen: Rob Bulmahn bajo licencia Creative Commons.

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)