La empresa de seguridad BlueBox informó –públicamente– de una severa vulnerabilidad que los dispositivos con Android, desde la versión 1.6, están sufriendo en la actualidad. Con esto hablamos de prácticamente el 99% de los equipos que están en el mundo, hace por lo menos 4 años. Lo peor de todo es que esta información fue entregada a Google, internamente, en febrero de este año, pero vio la luz pública en mayo y recién hoy explotó el caso.
¿De qué se trata? Un cibercriminal puede conocer la codificación única que cada aplicación tiene, modificando el código de esta a su beneficio y publicándola para que algún inocente la actualice sin percatarse que es una aplicación modificada. Ojo, ni el usuario o el mismo teléfono -e incluso- la tienda de aplicaciones. ¿Qué obtiene con esto? Prácticamente lo que quiera; desde ejecutar acciones en el equipo hasta robar tu información.
Ahora, lo problemático es que aplicaciones reales 100% pueden transformarse en trojanos (malware), sin que ningún protocolo de seguridad lo detecte. Eso sí, el detalle radica en cómo se distribuye una aplicación modificada ya que se da a entender que para hacerlo por la vía oficial, es decir la tienda Google Play, se debería conocer la cuenta del desarrollador para publicar una actualización de una misma App. Eso es difícil que suceda, pero tampoco improbable.
La otra cara fea del asunto es que el riesgo es mayor con las aplicaciones desarrolladas por los mismos fabricantes de teléfonos como HTC, Samsung, Motorola o LG, o de terceros. ¿Por qué? Debido a que se otorgan privilegios elevados dentro de Android, específicamente el acceso UID de sistema. Eso sí, Jeff Forristal (CTO BlueBox), contó a IDG que el Galaxy S4 estaría “parchado” frente a esta situación, pero la línea oficial de teléfonos de Google, “Nexus“, estaría en proceso. Además nuevos y específicos detalles, serían expuestos por el mismo Forristal a final de mes en la conferencia “Black Hat Security” en Las Vegas.
¿Qué debemos hacer para prevenir en parte la situación? Mientras Google -o directamente los fabricantes de teléfonos- arreglan este enorme problema de seguridad, sencillo. Dedíquese a descargar aplicaciones solo desde la tienda de aplicaciones Google Play. Es decir, evitar cualquier tipo de descarga de aplicaciones desde una Web externa, a través de un link desconocido o también un correo electrónico, adjuntando un archivo con extensión .APK.
