Vulnerabilidad en Android afectaría al 99% de los aparatos
La empresa de seguridad Bluebox Security ha revelado un agujero en el sistema operativo Android, que podría afectar al 99% de los aparatos que existen, alrededor de 900 millones en todo el mundo.
La vulnerabilidad detectada permitiría a un buen informático modificar el código del sistema y hacerse con el control de un aparato con Android sin que se enterara su dueño, según ha escrito en su blog el consejero delegado de Bluebox, Jeff Forristal, que promete dar los detalles en BlackHat sobre los aspectos técnicos de la vulnerabilidad. El fallo se arrastra desde la versión 1.6 de Android, la conocida como Donut, cuando ya se va por la 4.3.
Bluebox informa que notificó el fallo a Google en el mes de febrero. Según Forristal, el único aparato inmune al fallo es el Galaxy S4, es decir el smartphone estrella de Samsung, puesto a la venta hace unos meses, lo que puede sugerir que ya se ha encontrado un parche para tapar el agujero informático.
La vulnerabilidad implica diferencias en cómo las aplicaciones de Android son criptográficamente verificados, lo que permite modificar el código de un APK sin romper la firma criptográfica.
Todas las aplicaciones Android contienen firmas criptográficas, que son utilizadas para determinar si la aplicación es legítima y verificar que la aplicación no ha sido alterada. Esta vulnerabilidad hace que sea posible cambiar el código de una aplicación sin afectar su firma criptográfica.
Los detalles de Android bug 8219321 se dieron a conocer de manera responsable a Google en febrero de 2013. Ahora todo depende de los fabricantes de dispositivos para que produzcan y lancen las actualizaciones de firmware para los dispositivos móviles ya que la disponibilidad de estas actualizaciones varía ampliamente dependiendo del fabricante y el modelo de que se trate.
La captura de pantalla muestra cómo Bluebox ha sido capaz de modificar una aplicación para incluir el nombre de "Bluebox" en la cadena del nombre de la versión, valor normalmente controlado y configurado por el firmware del sistema.
Android usa la herramienta 'keytool' del SDK de Java (Oracle) para generar certificados y firmar nuestros APK, por lo que cabe suponer que la vulnerabilidad no se encuentra ahí, ya que esto supondría que las aplicaciones Java firmadas por esta misma herramienta serían susceptibles al mismo error, quedando expuestas de la misma forma.
En principio, 'keytool' usa tu llave privada para firmar cada uno de los archivos del APK. Esto es, no se firma el APK en su conjunto.
La instalación de una aplicación dañina (troyano) en el dispositivo puede permitir el acceso completo al sistema Android y todas las aplicaciones (y sus datos) instalados. La empresa de seguridad sugiere que, como prevención, el propietario de un aparato Android desconfíe de las aplicaciones y no se las descargue si no tienen claro el desarrollador del programa.
Actualización: existe exploit y parche para la vulnerabilidad.
Fuente: El País y Bluebox
La vulnerabilidad detectada permitiría a un buen informático modificar el código del sistema y hacerse con el control de un aparato con Android sin que se enterara su dueño, según ha escrito en su blog el consejero delegado de Bluebox, Jeff Forristal, que promete dar los detalles en BlackHat sobre los aspectos técnicos de la vulnerabilidad. El fallo se arrastra desde la versión 1.6 de Android, la conocida como Donut, cuando ya se va por la 4.3.
Bluebox informa que notificó el fallo a Google en el mes de febrero. Según Forristal, el único aparato inmune al fallo es el Galaxy S4, es decir el smartphone estrella de Samsung, puesto a la venta hace unos meses, lo que puede sugerir que ya se ha encontrado un parche para tapar el agujero informático.
La vulnerabilidad implica diferencias en cómo las aplicaciones de Android son criptográficamente verificados, lo que permite modificar el código de un APK sin romper la firma criptográfica.
Todas las aplicaciones Android contienen firmas criptográficas, que son utilizadas para determinar si la aplicación es legítima y verificar que la aplicación no ha sido alterada. Esta vulnerabilidad hace que sea posible cambiar el código de una aplicación sin afectar su firma criptográfica. Los detalles de Android bug 8219321 se dieron a conocer de manera responsable a Google en febrero de 2013. Ahora todo depende de los fabricantes de dispositivos para que produzcan y lancen las actualizaciones de firmware para los dispositivos móviles ya que la disponibilidad de estas actualizaciones varía ampliamente dependiendo del fabricante y el modelo de que se trate.
La captura de pantalla muestra cómo Bluebox ha sido capaz de modificar una aplicación para incluir el nombre de "Bluebox" en la cadena del nombre de la versión, valor normalmente controlado y configurado por el firmware del sistema.
Android usa la herramienta 'keytool' del SDK de Java (Oracle) para generar certificados y firmar nuestros APK, por lo que cabe suponer que la vulnerabilidad no se encuentra ahí, ya que esto supondría que las aplicaciones Java firmadas por esta misma herramienta serían susceptibles al mismo error, quedando expuestas de la misma forma.
En principio, 'keytool' usa tu llave privada para firmar cada uno de los archivos del APK. Esto es, no se firma el APK en su conjunto.
La instalación de una aplicación dañina (troyano) en el dispositivo puede permitir el acceso completo al sistema Android y todas las aplicaciones (y sus datos) instalados. La empresa de seguridad sugiere que, como prevención, el propietario de un aparato Android desconfíe de las aplicaciones y no se las descargue si no tienen claro el desarrollador del programa.
Actualización: existe exploit y parche para la vulnerabilidad.
Fuente: El País y Bluebox
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!