Mucho se ha hablado de la seguridad de Android y cómo un usuario malintencionado después de dedicarle varias horas podría infectar un dispositivo; aunque todos estos problemas implicaban bastantes variables que no eran tan comunes, un grupo de investigadores han encontrado una vulnerabilidad que permitiría saltarse la seguridad Android.
Investigadores de Bluebox Security ha identificado una vulnerabilidad en Android que existe desde la versión 2.1 y sigue presente en Android L que permitiría a un usuario malintencionado instalar una aplicación con una identificación falsa para obtener acceso a privilegios especiales.
La vulnerabilidad la han llamado Fake ID y como te decía han encontrado que todavía en el próximo Android L sigue presente. Este fallo criptográfico permitiría que las aplicaciones maliciosas se identifiquen como otra aplicación y pueda obtener accesos a todos los privilegios del sistema.
Esto que significa, que el sistema operativo no tiene desarrollada la posibilidad de identificar los certificados criptográficos de las aplicaciones y por lo tanto cuando pasan por el Sandbox no puede detectar si realmente pertenecen a quien dicen pertenecer y por lo tanto pueden saltarse el acceso al Sandbox y acceder como una aplicación privilegiada a los recursos del sistema operativo.
Aunque algunas pruebas han verificado que dispositivos como LG G3, Samsung Galaxy S5 y HTC One M8 no se ven afectados, Google ya ha sido informado de éste falló y lo ha solucionado, además se espera que próximamente lanzará una actualización para solucionarlo.
Los primeros pasos dados han sido que Google ha confirmado que la función de "verificar apps" y Google Play se han actualizado para proteger a los usuarios de este asunto. Además Google Play y Verify Apps se estarán mejorando para proteger a los usuarios, sin embargo, en caso de implementarse en Android L y Android 4.4 la pregunta que queda en el aire es ¿Qué pasará con los usuarios que no cuenten con la última versión del sistema operativo?
En un comunicado Google agradeció a la compañía por avisar de esta vulnerabilidad.
Apreciamos Bluebox por informar de esta vulnerabilidad, la investigación de terceros es una de las maneras Android se hace más fuerte para los usuarios. Después de recibir la noticia de esta vulnerabilidad, emitimos rápidamente un parche que se distribuyó a los socios de Android, así como para AOSP. Además Google Play y Verify Apps también se han mejorado para proteger a los usuarios de este asunto.
Vía | Phys
