Un fallo en Android abre de nuevo la puerta a la entrada de malware, en este caso haciéndose pasar por actualizaciones de aplicaciones legítimas. El problema ha sido bautizado como Fake ID y, aunque Google asegura haberlo solucionado, hay millones de móviles que todavía podrían sufrir la vulnerabilidad.

Fake ID lleva con nosotros desde 2010. Afecta a Android desde la versi√≥n 2.1 a la 4.4. En abril de este a√Īo, Google public√≥ una actualizaci√≥n de Kit Kat que soluciona el agujero de seguridad pero, seg√ļn datos de la propia compa√Ī√≠a, el 82,1% de los smartphones Android funcionan sobre versiones no actualizadas.

Bluebox Labs, que es la empresa que ha descubierto Fake ID, se√Īala que el fallo est√° en como Android comprueba los permisos de seguridad de las aplicaciones instaladas. El sistema operativo otorga certificados de seguridad a las aplicaciones para que estas tengan acceso a diferentes partes del tel√©fono y datos del usuario. Sin embargo, los certificados a veces se establecen en cadena. En otras palabras, hay aplicaciones cuya identificaci√≥n remite a un certificado de seguridad "padre". Si, por ejemplo, tenemos ya instalada una aplicaci√≥n con el certificado de seguridad de Adobe Systems, una segunda aplicaci√≥n supuestamente de Adobe puede remitir a este certificado para identificarse.

Se supone que Android verifica el certificado de seguridad "hijo" contrastándolo con el de su "padre", pero en Bluebox aseguran que no es así. Un malware disfrazado de aplicación legítima con un certificado de seguridad que aluda a otro puede colarse en el smartphone.

Advertisement

El da√Īo que esta puerta trasera podr√≠a ocasionar depende del malware, pero puede ser extenso. Bluebox cita, por ejemplo, al Adobe System webview plugin, un m√≥dulo que podr√≠a ser usado para inocular software malicioso en otras aplicaciones. La vulnerabilidad, en definitiva, podr√≠a ser usada para revelar datos de Google Wallet por NFC, para cosechar informaci√≥n personal de aplicaciones de redes sociales, o para tomar control de ciertas aplicaciones.

Desde Google aseguran que ya han liberado un parche para sus asociados y en Android Open Source Project que soluciona el problema. La compa√Ī√≠a asegura que, tras escanear las aplicaciones de Google Play, no tienen constancia de que haya habido intentos de aprovechar Fake ID con malas intenciones. Seg√ļn Google, en definitiva, el problema est√° resuelto. Bluebox ofrece su aplicaci√≥n de seguridad para escanear nuestro dispositivo y comprobar si est√° en riesgo. [Bluebox v√≠a The Guardian]

Imagen: Rob Bulmahn bajo licencia Creative Commons.

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)