Descubren una vulnerabilidad en Android que afecta al 99% de los dispositivos

Se ha descubierto una vulnerabilidad en Android, activa desde hace cuatro años, que permite a un hacker convertir cualquier aplicación legítima y firmada digitalmente en un programa troyano capaz de robar datos o incluso tomar el control del dispositivo.

Han sido los investigadores de Bluebox Security, una startup de seguridad móvil, los que han detectado el fallo, sobre el que hablarán en la próxima conferencia Black Hat USA.

Parece ser que la vulnerabilidad tiene que ver con las diferencias en cómo las aplicaciones de Android están verificadas criptográficamente, lo que permite que un atacante modifique los paquetes de aplicaciones, o APKs, sin romper  sus firmas.

Cuando una aplicación está instalada y se crea una sandbox para ella, explican los investigadores en un post, Android graba la firma digital de la aplicación. De esta forma, cualquier actualización de la aplicación comprueba la firma para asegurarse de que procede del mismo autor.

La vulnerabilidad, que existe desde Android 1.6, permite que los atacantes añadan código malicioso a esos APKs ya firmados sin romper sus firmas y afecta a todos los terminales lanzados durante los últimos cuatro años.

Según los investigadores, dependiendo del tipo de aplicación, un hacker puede explotar la vulnerabilidad para cualquier cosa, desde el robo de datos a la creación de una botnet móvil.

Google es consciente del problema desde el pasado mes de febrero y ha compartido la información con sus partners. Samsung Galaxy S4, por ejemplo, ya tiene un parche.

La disponibilidad de actualizaciones de firmware para este problema será diferente dependiendo de los modelos, fabricantes y operadoras.