Fake-ID permite ocultar malware en aplicaciones fiables en Android

Escrito por Rubén Velasco
Android
0

Android es el sistema operativo más utilizado en todo el mundo, pero a la vez el más atacado por los piratas informáticos. El malware también es uno de los aspectos más preocupantes de este sistema operativo, pero cuando ambos aspectos se juntan puede suponer un considerable peligro para los usuarios.

Los investigadores de seguridad de BlueBox han detectado una vulnerabilidad en el sistema de comprobación de firmas digitales para Android que identificaron como vulnerabilidad de ID falso o Fake-ID. Esta vulnerabilidad afecta a todos los usuarios de Android desde la versión 2.1 (Eclair, lanzada en 2010) hasta la actual 4.4 KitKat lanzada hace un año.

La vulnerabilidad permite a un pirata informático utilizar un certificado falso (por ejemplo, un certificado de Adobe) para firmar una aplicación maliciosa con él y que a la hora de instalarla se muestre a Adobe como propietario de la misma. El usuario confiará en la aplicación al creer que viene de una empresa fiable, sin embargo, por debajo de dicho certificado se puede esconder cualquier tipo de malware, por ejemplo, un troyano bancario o un software que envíe mensajes a números de tarificación adicional, aunque los principales fines con los que se ha utilizado esta vulnerabilidad han sido para atacar el monedero de Google, Google Wallet.

Google ya lanzó un parche el pasado mes de abril para todos los usuarios de su sistema operativo, sin embargo, este parche únicamente ha sido introducido en los dispositivos Nexus (los únicos que tienen actualizaciones tempranas) y en algunas roms como CyanogenMod que actualizan también a diario con nuevos parches y mejoras. Pocos dispositivos más han recibido el parche de Google y solucionado esta vulnerabilidad debido a que el mantenimiento de los fabricantes en este aspecto deja mucho que desear.

falsas_apps_android_windows_phone_foto

Si tu dispositivo no ha recibido la actualización correspondiente la mejor forma de protegerse de esta grave vulnerabilidad es desactivar el permiso de instalar aplicaciones desde orígenes desconocidos y no instalar ninguna aplicación distribuida desde fuera de las tiendas oficiales de aplicaciones como la Google Play Store o la Amazon App Store.

Esta vulnerabilidad es muy similar a la también conocida como “Llave maestra” o “Master Key“, que también ha sido descubierta por la misma compañía de seguridad. Ambas aplicaciones permiten falsificar certificados de manera que los usuarios instalen aplicaciones maliciosas pensando que son originales y que el sistema Android no sea capaz de distinguir entre una aplicación legítima y una falsa. Sin duda es un aspecto a tener en cuenta en el que Google debería trabajar.

¿Qué opinas de este fallo en Android? ¿Crees que Google debería cambiar algunos aspectos de su sistema operativo?

Fuente: The Hacker News