Nuevas aplicaciones explotan la vulnerabilidad Master Key de Android

Escrito por Rubén Velasco
Android
1

Hace varias semanas que se descubrió la mayor vulnerabilidad conocida hasta ahora de Android. Esta vulnerabilidad permite a los piratas informáticos modificar el código e introducir malware en una aplicación sin modificar la firma de integridad de esta, por lo que, aparentemente, la aplicación parecería verídica.

Junto a esta vulnerabilidad se supo que Android no comprobaba la integridad de la aplicación comparándola con la firma y que, aunque la aplicación hubiera sido modificada, permitía su instalación en el sistema sin ningún aviso al usuario. Hace 2 semanas publicamos en SoftZone la aparición de 2 aplicaciones que hacían uso de esta vulnerabilidad y que aunque se encontraban fuera de la Play Store ya habían infectado a un gran número de usuarios chinos.

La firma de seguridad Sophos ha informado de la aparición de un nuevo lote de aplicaciones maliciosas que se encargan de recopilar todo tipo de información disponible en el smartphone y enviarla a un servidor, aparentemente, inexistente.

android_master_key

También han detectado nuevos casos en los que, por motivos desconocidos, al introducir el código malicioso dentro de la aplicación se corrompió el paquete apk y quedó totalmente inutilizado. Esto lleva a pensar a los investigadores que esta vulnerabilidad no afecta a todas las aplicaciones de Android y que depende, en gran parte, del modo en que haya sido programada.

¿Cómo solucionar la vulnerabilidad Master Key de Android?

Existen varias formas de protegerse frente a esta vulnerabilidad e impedir así infectarnos con una aplicación maliciosa. En primer lugar, podemos optar por instalar una solución antivirus en nuestro sistema que parchee la vulnerabilidad y de paso analice las aplicaciones que instalamos y nos permita disponer de un extra de seguridad en nuestros dispositivos.

Otra opción es optar por roms cocinadas como CyanogenMod que ya tienen el parche aplicado en su sistema y se encuentran protegidas contra esta vulnerabilidad,

Una tercera opción para parchear esta vulnerabilidad es instalar alguna aplicación que parchee el sistema, por ejemplo, ReKey. Esta pequeña aplicación soluciona en cuestión de segundos la vulnerabilidad Master Key de nuestro dispositivo Android.

¿Ya tienes tu dispositivo protegido contra la vulnerabilidad Master Key?