El equipo de la compañía de seguridad Bluebox ha encontrado una nueva vulnerabilidad para
dispositivos Android que convierte aplicaciones legítimas en troyanos, pasando
totalmente desapercibido por la tienda de aplicaciones, el teléfono o
el usuario. Esta vulnerabilidad afecta a cualquier dispositivo Android lanzado
al mercado en los últimos cuatro años y en función del tipo de aplicación, un
'hacker' puede explotar la vulnerabilidad de cualquier cosa, desde el robo de
datos a la creación de una red de 'bots' móviles.
Los ataques maliciosos a dispositivos Android se han convertido ya en un
clásico. Aplicaciones falsas que insertan 'malware' en el dispositivo o que
intentan realizar ataques de 'phishing' está a la orden del día. Sin embargo una
nueva amenaza, que pasa desapercibida a ojos de los usuarios, puede acabar
radicalmente con el terminal Android.
Según asegura la compañía de seguridad Bluebox Security en su último
informe, una nueva vulnerabilidad descubierta para Android convierte cualquier
aplicación instalada de forma legítima en el terminal en un troyano. Mientras
que el riesgo para los usuarios y las empresas es grande, este riesgo se agrava si
se tienen en cuenta las aplicaciones desarrolladas por los fabricantes de dispositivos como
HTC, Samsung, Motorola o LG, o de terceros que trabajan en cooperación
con el fabricante del dispositivo, ya que se otorgan privilegios elevados
especiales dentro de Android, específicamente el acceso UID de sistema. El informe explica cómo funciona esta nueva vulnerabilidad.
La vulnerabilidad implica diferencias en cómo las aplicaciones de Android son
criptográficamente verificados y fijas, lo que permite la modificación del
código del APK sin romper la firma criptográfica.
Todas las aplicaciones Android contienen firmas criptográficas, que utiliza
Android para determinar si la aplicación es legítima y verificar que la
aplicación no ha sido alterada o modificada. Esta vulnerabilidad hace que sea
posible cambiar el código de una aplicación sin afectar a la firma
criptográfica de la aplicación, en esencia lo que permite a un autor malicioso
engañe a Android creyendo que la aplicación no cambia incluso si se ha sido. Los detalles de Android 'bug' de seguridad 8219321 se dieron a conocer de
manera responsable a través de la estrecha relación de Bluebox Security con
Google en febrero de 2013.
Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de 'firmware' para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varía ampliamente dependiendo del fabricante y el modelo de que se trate", afirma la compañía de seguridad.
Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de 'firmware' para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varía ampliamente dependiendo del fabricante y el modelo de que se trate", afirma la compañía de seguridad.
Algunas recomendaciones de BlueBox.
- Los usuarios deberían ser extremadamente cautelosos con la compañía que elabora la aplicación que quieren descargar.
- Las empresas que tienen la política de permitir a sus empleados trabajar con sus propios dispositivos tecnológicos, deberían pedirles que mantengan sus equipos actualizados.
- Los departamentos de tecnología de las compañías deberían empezar a concentrarse en incrementar la seguridad de la información corporativa.
