Detectada otra vulnerabilidad “Master Key” en Android KitKat

Escrito por Adrián Crespo
Android
1

En el pasado mes de Julio se detectó un problema de seguridad similar y que a priori fue resuelto tras una actualización que Google llevó a cabo. Sin embargo, un investigador ha detectado una nueva vulnerabilidad “Master Key” en Android KitKat, pudiendo poner en peligro la seguridad del terminal móvil.

A pesar de que esta nueva versión de Android había heredado el parche de seguridad que recibieron las versiones anteriores, parece ser que esta vulnerabilidad no está relacionada con estas y por este motivo ha aparecido.

Aunque no se trata de un tipo de fallo de seguridad común, sí es verdad que se trata de un fallo peligroso de cara a la seguridad del terminal y de los datos que el usuario posee en este, ya que este fallo permitiría el acceso total a los datos y el control total sobre el terminal.

Utilización de claves privadas para instalar malware

El sistema operativo utiliza un sistema de firmas en las aplicaciones. Si estas firmas están autorizadas por el sistema operativo, la aplicación podrá instalarse sin ningún tipo de problema en el terminal, firma que poseen todas las que están disponibles en el Play Store. Estas firmas se reparten a los desarrolladores de aplicaciones que están reconocidos como tal por Google y que pueden subir aplicaciones a la tienda que el gigante de internet posee.

Sin embargo, se ha visto que si una aplicación cualquiera, que no sea de un desarrollador de Google reconocido, utiliza una de las firmas que se encuentran incluidas en las aplicaciones y la incorpora a otra, esta puede instalarse con total normalidad en el terminal móvil, algo que no debería de pasar.

El problema sería si en vez de una aplicación es una aplicación malware

El firmar una aplicación cualquiera no reviste un problema para la seguridad del terminal o la de los datos del usuario que se encuentran en el teléfono. El problema se agrava si estamos hablando de que estas formas se utilizan para firmar aplicaciones maliciosas y que podrían tomar control total sobre el terminal y sobre los datos que se encuentra en él.

A la vista de este problema de seguridad, los usuarios han sido alertado de este y se les aconseja no utilizar mercados de aplicaciones alternativos a los oficiales, algo que podría parecer más seguro, pero que tras los fallos de seguridad que han existido en Play Store en los que malware ha estado disponible para poder ser descargado, resulta también un tanto problemático realizar una descarga segura para los usuarios desde tiendas oficiales.

Fuente | The Hacker News


Noticias relacionadas

Comentarios


1 comentario
  1. SegurataInformatico 03 Nov, 13 13:34

    Me parece muy raro. Una firma depende del contenido del archivo. Si pueden copiar y pegar la firma a otro archivo entonces es que el sistema Android no comprueba la firma, así de simple.

    Responder
    0