Al igual que hace algunos días anunciábamos que la red social Facebook, al ser la que tiene un mayor número de usuarios, es el objetivo preferido de los desarrolladores de malware para su distribución, hoy nos referimos a las amenazas específicas de Android por ser el sistema operativo móvil con mayor número de implementación en el mercado de los smartphones.

Los investigadores de la empresa de seguridad informática BlueBox han detectado una vulnerabilidad en el sistema de firmas digitales utilizado por el sistema del Androide según anunciaron a través de un comunicado en la web oficial y que afecta a todas las versiones desde la antiquísima 2.1 lanzada en el año 2010 y conocida como Eclair, hasta las más actuales versiones 4.4 KitKat de reciente creación y que aún se está implementado en algunos terminales de la última hornada de las empresas más importantes del sector, o sea, el 90% de los 2000 millones de dispositivos inteligentes que corren por el globo.

El defecto detectado y bautizado como Fake ID, consistiría en un error en el módulo de comprobación de los certificados digitales utilizados para autenticar a los desarrolladores de las aplicaciones móviles, por lo que un pirata informático podría utilizar un certificado falso o robado a nombre de alguna empresa instalada en los terminales como empresa de confianza para firmar su aplicación y distribuirla sin que ningún terminal, por muy protegido que estuviera, pusiera ningún impedimento en la instalación pudiendo así realizar la operación para la propagación de malware.

La vulnerabilidad permite a aplicaciones maliciosas suplantar a aplicaciones confiables especialmente reconocidas sin que el usuario lo note. Esto puede tener un amplio espectro de consecuencias. Por ejemplo, puede utilizarse la vulnerabilidad por malware para escapar de la sandbox de uso normal y tomar una o más acciones maliciosas: insertar un troyano en una aplicación haciéndose pasar por Adobe systems; acceder a la tecnología NFC y datos de pago haciéndose pasar por Google Wallet; o tomar el control de la gestión completa de todo el dispositivo.

Por ejemplo, si el cyber-delincuente utilizara un certificado digital emitido a nombre de Microsoft Corp, como ya sucedió con la distribución del virus Zeus, tanto el sistema como el usuario comprobaría que la aplicación que está instalando son de una empresa de confianza, por lo que la instalación se haría sin problemas aparentes, pero en la realidad se podría estar instalando algún malware bancario que nos podría sustraer la información de las tarjetas de crédito de los terminales donde los usuarios las hubieran registrado para realizar pagos en su store oficial o alguna de las muchas variantes de virus del tipo ransomware (virus secuestradores) que acceden y encriptan la información personal del usuario como fotografías, pidiendo posteriormente un rescate para su recuperación, igual que hace el conocido virus de la policía en los terminales de sobremesa.

Pero no es sólo Android el que se ve afectado por ésta vulnerabilidad, puesto que se ha descubierto otra vulnerabilidad en la implementación del estándar de uso y control de las redes de comunicaciones y que afectaría además a los sistemas IOs de Apple e incluso los sistemas utilizados en los aparatos de la marca BlackBerry, que también podrían estar en peligro según afirma el investigador Mathew Solnik de Accuvant Security a través de un comunicado en la web oficial.

Este otro error de funcionamiento permitiría a usuarios malintencionados acceder a la información privada de los terminales, tomar el control del mismo pudiendo por ejemplo realizar suscripciones a sistemas de mensajería de tarificación especial e incluso reiniciar y eliminar totalmente la información del usuario.

Tanto BlueBox como Accuvant explicarán todos los detalles de sus descubrimientos en la próxima conferencia Black Hat 2014, donde las empresas de cyber-seguridad exponen sus productos y logros con el afán de captar la atención de clientes potenciales. Mientras tanto los propietarios desarrollan las actualizaciones necesarias de sus sistemas para eliminar los agujeros de seguridad.

Desde Técnicos Web les aconsejamos una vez más:

  • Controlar concienzudamente los permisos requeridos por las aplicaciones antes de su instalación
  • No instalar aplicaciones de fuentes que no sean de confianza para minimizar los riesgos. 
  • Desestimar la instalación en caso de algún tipo de sospecha.
¿Le ha resultado útil la información?

¿Crees que los sistemas actuales de control de seguridad son suficientemente efectivos?