La seguridad del ecosistema Android se basa en los permisos. Para poder realizar determinadas acciones las aplicaciones necesitan tener establecidos ciertos permisos del sistema en el archivo manifest o, de lo contrario, no deberían tener acceso a todo aquello que no esté especificado explícitamente.
Una nueva vulnerabilidad detectada en este sistema operativo puede llegar a permitir que aplicaciones maliciosas realicen llamadas desde los terminales de las víctimas sin los permisos correspondientes, de forma que el usuario instala la aplicación maliciosa desde la Play Store, o desde cualquier otra tienda, revisa los permisos y al ver que no tiene acceso a la función de realizar llamadas, generalmente confía en que sea cierto.
Esta vulnerabilidad puede permitir a las diferentes aplicaciones realizar llamadas a números de tarificación adicional en segundo plano, sin que el usuario sea consciente de ello y tener el control sobre las llamadas salientes del dispositivo pudiendo finalizarlas en cualquier momento. Esta vulnerabilidad también permite realizar el envío de códigos UUSD comúnmente utilizados para realizar determinadas acciones de cara al ISP como activar el buzón de voz, el desvío de llamadas y bloquear las tarjetas SIM, entre otras.
Este fallo de seguridad está presente en todas las versiones de Android desde 4.1 Jelly Bean hasta 4.4.2 KitKat. Según informan los investigadores, el fallo ha sido solucionado en la última versión de este sistema operativo Android 4.4.4 que ya han recibido los smartphones de la gama Nexus y que en las próximas semanas recibirán otros dispositivos como los Motorola. Las aplicaciones que tengan revocados los permisos para realizar o tener el control de las llamadas tampoco están seguras ante esta vulnerabilidad ya que dicha denegación de permisos puede ser fácilmente saltada con el uso de distintos exploits que ya se encuentran circulando por la red.
Más información sobre la vulnerabilidad en el blog oficial de Curesec, que han sido quienes han hecho eco de ella.
¿Qué opinas sobre esta vulnerabilidad en Android?
Fuente: E Hacking News