Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/07/2013
Descobrixen una vulnerabilitat en Android que afecta el 99% dels dispositius
Des d’Android 1.6 el sistema operatiu té una vulnerabilitat que permet els atacants convertir les aplicacions en troians sense canviar les seues firmes.
S’ha descobert una vulnerabilitat en Android, activa des de fa quatre anys, que permet a un hacker convertir qualsevol aplicació legítima i firmada digitalment en un programa troià capaç de robar dades o inclús prendre el control del dispositiu.
Han sigut els investigadors de Bluebox Security, una startup de seguretat mòbil, els que han detectat la fallada, sobre la qual parlaran en la pròxima conferència Black Hat USA.
Pareix que la vulnerabilitat té a veure amb les diferències en com les aplicacions d’Android estan verificades criptogràficament, la qual cosa permet que un atacant modifique els paquets d’aplicacions, o APKs, sense trencar les seues firmes.
Quan una aplicació està instal·lada i es crea una sandbox per a ella, expliquen els investigadors en un post, Android grava la firma digital de l’aplicació. D’esta manera, qualsevol actualització de l’aplicació comprova la firma per a assegurar-se que procedix del mateix autor.
La vulnerabilitat, que existix des d’Android 1.6, permet que les persones atacants afigen codi maliciós a eixos APKs ja firmats sense trencar les seues firmes i afecta tots els terminals llançats durant els últims quatre anys.
Segons els investigadors, depenent del tipus d’aplicació, un hacker pot explotar la vulnerabilitat per a qualsevol cosa, des del robatori de dades a la creació d’una botnet mòbil.
Google és conscient del problema des del passat mes de febrer i ha compartit la informació amb els seus socis. Samsung Galaxy S4, per exemple, ja té un pegat.
La disponibilitat d’actualitzacions de firmware per a este problema serà diferent depenent dels models, fabricants i operadores.