El 4 de Julio, la empresa Bluebox Security anunció públicamente sobre un fallo que detectó y que avisó por Febrero, en los dispositivos móviles Android, permitiendo que un hacker pueda convertir cualquier aplicación en un troyano malicioso(*).
El impacto de esta falla abarca todos los dispositivos vendidos en los últimos cuatro años desde el Android 1.6 Donut, aproximadamente 900 millones de aparatos.
Es así que un hacker puede desde robar datos hasta crear una red de bots móviles (**).
El riesgo para el individuo y la empresa es grande, pues una aplicación maliciosa puede acceder a los datos individuales o entrar al sistema de la compañía, riesgo que se agrava si se tienen en cuenta las aplicaciones desarrolladas por los fabricantes de dispositivos o de terceros que trabajan en cooperación con el fabricante del dispositivo y que se otorgan privilegios elevados especiales dentro de Android, puntualizó.
La vulnerabilidad radica en que se puede modificar el código del paquete APK sin romper la firma cifrada de la aplicación, lo que en apariencia parecería una aplicación legítima.
En Android, cada vez que se ejecuta un archivo, se verifica con una firma digital. La falla consiste en engañar esa verificación. En teoría, al modificar un solo bit de la firma criptográfica, no podría pasar esa verificación. En este caso han logrado engañarla: la hacen pasar por falsa o se saltean ese procedimiento.
La aplicación entonces no sólo tiene la capacidad de leer los datos de aplicaciones arbitrarias en el dispositivo como correo electrónico, mensajes de texto y documentos, entre otros, recupera todas las cuentas y contraseñas almacenados.
Además esta la posibilidad de tomar el control sobre el equipo.
Finalmente, el 10 de julio llegó la solución de mano de Google con un parche.
Identificaron que el problema sólo afectaba a quienes descargaran aplicaciones por fuera de Google Play, la tienda de aplicaciones oficiales de Android, que ya estaba protegida frente a este ataque.
La instalación del parche dependerá de que cada fabricante de celulares haga lugar a la actualización correspondiente para los usuarios.
Solo a modo estadistico, en Argentina, de acuerdo a un cruce de datos, son más de 6 millones de teléfonos los que están equipados con el sistema operativo de Google y que podrían resultar infectados. Según la consultora Carrier, hay 10 millones de smartphones en el país, y de acuerdo a los datos de iCrossing, el 63% de los teléfonos inteligentes argentinos tienen el sistema operativo Android.
Para que tengamos en cuenta, en la feria Black Hat a finales de julio en Las Vegas, la empresa Bluebox difundirá mas detalles al respecto.
Los detalles son:
– When checking signatures the PackageParser calls its loadCertificates method (https://android.googlesource.com/platform/frameworks/base/+/android-4.2.2_r1.2/core/java/android/content/pm/PackageParser.java – line 441)
– The loadCertificates method uses the getInputStream method of the JarFile object to obtain an input stream. (https://android.googlesource.com/platform/frameworks/base/+/android-4.2.2_r1.2/core/java/android/content/pm/PackageParser.java – line 446)
– The getInputStream method comes from ZipFile (the parent of JarFile), which looks up the relevant entry in a Map (https://android.googlesource.com/platform/libcore/+/android-4.2.2_r1.2/luni/src/main/java/java/util/zip/ZipFile.java – line 248)
– A Map can only provide a single object for a given key, so if you have two entries in a zip file with the same name, only one of the entries will be returned when you do a look-up for that name.
– The Map is constructed as part of a loop (https://android.googlesource.com/platform/libcore/+/android-4.2.2_r1.2/luni/src/main/java/java/util/zip/ZipFile.java – line 366) so you can determine which entry will always be returned
Gina Scigliano, gerente de Comunicaciones de la división Android, reveló que empresas como la coreana Samsung ya están trabajando para poner a disposición de sus usuarios el parche desarrollado en los últimos días. Según la ejecutiva, el informe de Bluebox no debería generar ningún tipo de caos, ya que Google hasta ahora no ha detectado ninguna falla de seguridad en Google Play u otras tiendas de Apps vinculadas a la plataforma. De todas maneras, el pensamiento de la compañía parece haber sido claro: mejor prevenir que curar.
Fuentes:
http://www.zdnet.com/google-releases-fix-to-oems-for-blue-security-android-security-hole-7000017782/
https://plus.google.com/113331808607528811927/posts/GxDA6111vYy
http://blog.segu-info.com.ar/2013/07/android-lanza-parche-oem-para-el-bug.html#axzz2YsmvPcUZ
http://eleconomista.com.mx/tecnociencia/2013/07/04/falla-android-afectaria-casi-900-millones-equipos
http://androidzone.org/2013/07/descubren-grave-vulnerabilidad-que-afecta-al-99-de-los-android/
_________________________
(*)
http://es.wikipedia.org/wiki/Troyano_(inform%C3%A1tica)
Se denomina troyano o caballo de Troya (traducción literal del inglés Trojan horse) a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños.
El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.
__________________________
(**)
Una vez que un bot infecta un equipo, el agresor puede controlarlo de forma remota por Internet. A partir de ese momento, el equipo se convierte en un zombi a las órdenes del hacker sin que el usuario llegue a percatarse. Los grupos de equipos infectados de esta manera se denominan redes de bots.
Los delincuentes pueden compartir el control de la red de bots o vender acceso a la misma para que otros puedan utilizarla con fines maliciosos.
Por ejemplo, un creador de correo no deseado puede utilizar una red de este tipo para enviar spam. Hasta un 99 % del correo no deseado se distribuye de esta forma, ya que permite a los remitentes evitar ser detectados y sortear las listas negras en las que se hayan podido incluir sus servidores. Además, puesto que los dueños de los ordenadores pagan por el acceso a Internet, reduce los costes.
Los delincuentes también utilizan equipos zombi para lanzar ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés), para los que organizan miles de ordenadores que intentan acceder de forma simultánea al mismo sitio web, haciendo que el servidor sea incapaz de ocuparse de todas las solicitudes que recibe y bloqueando el acceso al sitio web.