Un error de la seguridad en Android permite la entrada de un virus a sus dispositivos

Apps y Software

Por Sophimania Redacción
30 de Julio de 2014 a las 10:21
Compartir Twittear Compartir
Un error de la seguridad en Android permite la entrada de un virus a sus dispositivos

Se ha descubierto un defecto de Android que le permite a un 'malware'  insertar un código malicioso en otras aplicaciones, acceder a los datos de la tarjeta de crédito del usuario y manipular los ajustes del dispositivo.

La empresa BlueBox indicó su preocupación respecto a que los propietarios de teléfonos y tabletas no necesitan conceder permisos especiales para que el virus actúe.

BlueBox Labs alerta de que lo preocupante es que el 'malware' puede actuar sin que los propietarios le den un permiso especial para acceder a los dispositivos.

La compañía dice que ha avisado a Google para que pueda reparar su sistema operativo cuanto antes y que no se produzcan graves problemas de seguridad. Por su parte Google ha dicho que ya ha creado una solución al fallo.

Sin embargo, los miles de dispositivos que aún tienen las versiones del sistema operativo que van desde Android 2.1 a Android 4.3 y a los que los operadores o fabricantes no les han enviado el parche siguen siendo vulnerables si descargan aplicaciones desde fuera de la tienda de Google Play.

1andro1

Creación de ID falso

BlueBox ha apodado la vulnerabilidad como 'Fake ID', porque el problema tiene que ver con la forma en que Android se encarga de los ID digitales -conocida como firmas de certificación- y que se utiliza para verificar que ciertas aplicaciones son lo que parecen ser.

El problema ocurre cuando Android comprueba si una aplicación tiene el ID correcto, no logra volver a verificar que la firma de certificación  se haya emitido correctamente y no falsificada.

Jeff Forristal, director de tecnología de BlueBox, comparó el asunto como si un comerciante al llegar a un edificio presente su documento de identidad a un guardia de seguridad y que este le de acceso especial a la infraestructura sin antes llamar al empleador del comerciante para comprobar que su nombre este realmente en sus libros.

"Ese eslabón perdido de la confirmación es realmente de donde este problema se deriva", dijo a la BBC.

"El problema fundamental es simplemente que Android no verifica ninguna demanda acerca de si la identidad está relacionada con otra identidad."

Para empeorar las cosas, agregó, una sola aplicación puede generar varias identidades falsas a la vez, lo que le permite llevar a cabo ataques múltiples.

Tres ejemplos de cómo se puede utilizar una firma de certificación falsa para causar daño:

1.La aplicación pretende ser creado por Adobe Systems, Adobe se concede el privilegio de ser capaz de agregar código a otras aplicaciones con el fin de apoyar su uso de su flash media player plug in. El malware puede tomar ventaja de esto para instalar un Troyano en los programas de lo contrario auténticos.

2. La aplicación utiliza el mismo ID utilizado por Google Wallet , el software de pagos móviles de la firma de búsqueda suele ser la única aplicación les permite comunicarse con el hardware de seguridad utilizado para hacer transacciones de tarjetas de crédito a través del tap-to-pay NFC de un teléfono (comunicación de campo cercano) de chips. Mediante la explotación de esto, el programa malicioso puede obtener datos financieros y de pago que de otro modo estarían protegidos.

3. La aplicación se hace pasar por software 3LM, muchos fabricantes añaden sus propias pieles para Android para personalizar las interfaces de usuario y las funciones de sus dispositivos". En el pasado, HTC, Sony, sostenido, Motorola y otros hicieron esto mediante el uso de extensiones creadas por una empresa ya desaparecida llamada 3LM. Haciéndose pasar por software de 3LM, el malware podría tomar el control total de los dispositivos pertinentes y ambos desinstalar su software existente, así como la adición de spyware, virus y otros contenidos dañinos de su propia

BlueBox fue noticia en julio pasado cuando reveló la clave maestra del error - un resquicio de codificación que podría permitir a los hackers tomar el control de los dispositivos Android. Los cibercriminales fueron posteriormente detectaron utilizando la técnica para orientar a los usuarios en China.

"Fake ID lamentablemente ocurre de una manera oculta para el usuario, no hay mensajes, no hay notificaciones, sin necesidad de permisos especiales.

"El usuario puede en realidad ser notificado de que la aplicación no quiere ningún permiso especial en absoluto, que la mayoría de la gente podría pensar que lo hace relativamente seguro. Pero una vez instalado el Fake ID es 'Game over' al instante."


1android2

Google Play exploración

Dr. Steven Murdoch, un experto en seguridad de la Universidad de laboratorio de informática de Cambridge acordó que esto era un grave defecto. Sin embargo, agregó que la mayoría de los dueños de dispositivos aún deben ser capaces de evitar ser afectados.

 

"Google buscará a las personas que estén explotando esta vulnerabilidad en las aplicaciones que se distribuyen a través de su propia tienda de Google Play," dijo.

 

"Así que, si ese es el único lugar de donde usted obtiene aplicaciones, usted está en una posición relativamente buena. Pero si se descarga aplicaciones de otras fuentes está poniéndose en riesgo."

Una portavoz de Google confirmó que la compañía había escaneado, así como todas las aplicaciones en su propia tienda de algunos de los otros lugares. "No hemos visto ninguna evidencia de intento de explotación de esta vulnerabilidad", agregó.

BlueBox esta lanzando una aplicación para Android de su propiedad que comprobará si el dispositivo ha sido parcheado.

Fuente: BBC


Compartir Twittear Compartir