Android Lollipop resuelve un problema de escalada de privilegios

Android Lollipop resuelve un problema de escalada de privilegios

Adrián Crespo

Las nuevas versiones de sistemas operativos tanto de escritorio como de dispositivos móviles siempre vienen cargadas de novedades que afectan al rendimiento, apariencia y seguridad. Android Lollipop no ha sido una excepción y se ha podido saber que esta versión resuelve un problema de seguridad que permite una escalada de privilegios y que afecta al módulo relacionado con la serialización de archivos.

El problema resulta bastante equiparable al de Windows Phone que hemos mencionado en el día de hoy, permitiendo que una aplicación falsa heredase los permisos de ejecución de una legítima.

En este caso, el resultado es idéntico, ya que el proceso de serialización y deserialización utilizando java.io.ObjectInputStream es utilizado en la mayoría de los archivos que se encuentran en el almacenamiento del dispositivo, sobre todo con la finalidad de salvar un determinado estado. Al aplicar la deserialización se puede obtener un clon de la aplicación, permitiendo que este sea utilizado para fines muy diversos.

Con este fallo de seguridad se pueden atacar procesos pertenecientes al sistema, sobre todo teniendo en cuenta que los parámetros que se pasan a los métodos pertenecientes a ObjectInputStream no se comprueban, afirmando desde Java que esto debe ser una tarea del programador que es el que debe realizar esta comprobación.

No se han detectado exploits y no se espera una solución para las versiones anteriores a Android Lollipop

Desde Mountain View han confirmado que no se ha detectado en Internet la presencia de exploits que puedan llegar a aprovechar este fallo de seguridad, suponiendo un «consuelo» (al menos de momento) para todos aquellos usuario que no van a recibir la actualización.

Algo que aún es de envidiar con respecto a Apple es el compromiso con dispositivos con versiones de iOS antiguas, ofreciendo actualizaciones de seguridad y una fragmentación bastante menor que la que a día de hoy ofrece Google con Android. De momento no existen planes para publicar una actualización que resuelva el problema en Android 4.4.4 y otras versiones anteriores.

1 Comentario