Las firmas digitales ayudan a verificar la integridad de una aplicación y a saber la autenticidad que esta posee. Sin embargo, se ha descubierto que en Android existe una posibilidad para saltarse esta verificación, abriendo una nueva vía para la llegada de programas malware al dispositivo del usuario. Todo parece indicar que este fallo de seguridad existe desde hace bastante tiempo.
Más concretamente se trata de un fallo que se encuentra en el sistema operativo desde la versión 1.6. El número de dispositivos afectados por el fallo de seguridad son muchos (estamos hablando de millones) y hasta este momento, sólo el fabricante coreano Samsung ha querido poner fin a este problema. En concreto, la compañía ha tomado la decisión de que su buque insignia, el Samsung Galaxy S4, no tenga este fallo de seguridad, y ya está poniendo a disposición del usuarios actualizaciones para solucionar el problema.
¿Es tan serio el problema?
Tampoco es necesario catalogar la situación de «Estado de emergencia», pero si que se trata de algo bastante importante, ya que estamos hablando de una de las principales vía de entrada de malware en estos terminales.
Un software no firmado es aquel que no cumple con ciertos criterios de una compañía, en este caso google, y esta decide no dar un certificado válido. También, la no inclusión de un certificado significa que se puede hablar sobre que la aplicación desarrolla una serie de actividades y realmente realiza otras muy distintas.
¿Qué podría provocar en el terminal?
Que una aplicación .apk pueda saltarse la verificación de firmas digitales significa que cualquier aplicación podría instalarse en el terminal, tenga o no un certificado digital que haya sido aceptado en anterioridad por Android. Esto podría desembocar en la llegada al terminal de aplicaciones falsas que en realidad con malware.
Ante lo que parece una falta de compromiso para solucionar el problema, lo mejor en estos casos es instalar las aplicaciones de sitios web y tiendas de aplicaciones de confianza, mucho mejor si se tratan de la tienda de aplicaciones oficial.
Fuente | The H Security