Hace 2 días se hacía pública una noticia sobre un bug de seguridad detectado en Android por la empresa BlueBox que permitía hacer una suplantación de una aplicación verídica instalando en su lugar un troyano que roba los datos de nuestro teléfono y vulnera totalmente nuestra privacidad.
Como podemos leer en AndroidAyuda, el fallo de seguridad afecta a más del 99% de los dispositivos. El fallo permite que un pirata informático modifique una aplicación por completo sin la necesidad de modificar la firma, por lo que a los ojos de Android seguirá siendo la aplicación originaria.
Análisis del fallo.
Android, por defecto, dispone de un comprobador de firmas. Cuándo vas a instalar una aplicación desde la Play Store, esta pasa por dicho comprobador antes de ser instalada. En caso de ser errónea esta comprobación (ya sea por una modificación, una descarga errónea, un fallo de lectura/escritura, etc), Android simplemente no permite continuar con la instalación.
El usuario en muchas ocasiones habilita una opción llamada «Orígenes desconocidos».
Habilitando esta opción el usuario está pidiendo a Android que deshabilite la comprobación de la firma a la hora de instalar aplicaciones, lo cual nos va a permitir instalar ficheros .apk en el sistema como copias de seguridad, archivos descargados de fuentes desconocidas, modificaciones de aplicaciones, etc.
Desde RedesZone ya os hemos advertido de los riesgos que supone instalar aplicaciones desde fuera de la Play Store, y aunque también se llegan a colar aplicaciones maliciosas dentro de la propia Play Store, estas tienen un mayor control y sus firmas son siempre comprobadas por Google.
Por el momento se desconoce si Google tomará acciones al respecto. La única forma de estar protegido es descargar siempre las aplicaciones de fuentes de confianza e incluso deshabilitar la anterior opción e instalar siempre desde la Play Store o Amazon App Store. La única forma de solucionar este fallo sería no permitir al usuario instalar aplicaciones externas, cosa que a más de uno no le gustará. Un sistema tan abierto como Android siempre tendrá riesgos.
¿Qué opináis al respecto? ¿Es Google culpable de dicha vulnerabilidad?