La empresa de seguridad Bluebox reveló anoche una peligrosa vulnerabilidad de Android que podría afectar al [99% de los dispositivos](http://hipertextual.com/archivo/seguridad/vulnerabilidad-en-android-bluebox/) con el sistema operativo de Google. Pero, aunque es **un problema muy grave**, en principio no debería afectar al usuario medio, ya que para que afecte a un dispositivo es necesario instalar aplicaciones **desde fuera de Google Play**. Por lo tanto, si no se descargan aplicaciones que no estén en la tienda de la compañía, no debería haber problema. Tampoco debería haberlo si se descargan de páginas de confianza.
No obstante, esto **no es suficiente**. El sentido común es [la primera forma](http://hipertextual.com/archivo/seguridad/antivirus-en-android-no-sirven/) de defenderse de ésta y de prácticamente cualquier vulnerabilidad, sí; pero también hace falta una **capa adicional de seguridad**. «Los dueños de los dispositivos deben ser especialmente cuidados al identificar quién publica la aplicación que quieren descargar», advierte **Jeff Forristal**, CTO de Bluebox, en el blog de la compañía.
Forristal no explicó en profundidad cómo funciona la vulnerabilidad de Android que ha descubierto, aunque adelantó que lo hará durante su intervención en la conferencia **Black Hat**. De todos modos, ha dado bastantes detalles. Además, aseguró que advirtió a Google de este fallo en febrero de este año.
La vulnerabilidad está presente en el sistema operativo desde el lanzamiento de **Android 1.6**, hace más de 4 años. Por lo tanto, según los datos de Google, afecta a prácticamente la totalidad de [sus dispositivos](http://developer.android.com/about/dashboards/index.html). En el caso de ser atacados, estos terminales serían **incapaces** de detectar los cambios hechos en una aplicación por el software malicioso.
Android no sabrá que una app ha sido modificada
Esto se debe a cómo está planteada la seguridad en la plataforma. Todas las aplicaciones tienen una firma criptográfica que, en principio, evita que se modifique el código del APK de una app sin que el sistema operativo sea consciente de ello. Pero la vulnerabilidad que ha descubierto Bluebox permite **cambiar el código sin afectar a esta firma** gracias a «discrepancias en cómo las aplicaciones Android son verificadas e instaladas». Es decir, Android no se dará cuenta de que el programa no ha sido modificado.
Si esto ocurriese, se podría conseguir acceso a **toda la información almacenada en el smartphone**. Pero hay más. Dado que en los teléfonos fabricados por terceros hay un gran número de aplicaciones [con permisos especiales](http://hipertextual.com/archivo/opinion/malware-en-android-permisos/), un atacante podría acceder a todas las aplicaciones instaladas y, de este modo, **controlar el terminal** hasta el punto de ser capaz de realizar llamadas, enviar SMS o encender la cámara.
Por lo tanto, son los propios **fabricantes** quienes deben desarrollar y lanzar actualizaciones para garantizar la seguridad de sus usuarios. Y esto **lleva tiempo**. Google, por su parte, debería explorar el fallo, si es que no lo ha hecho ya, y trabajar con estos fabricantes para conseguir una respuesta rápida.
ok, afecta al 99% de los android pero al usuario medio q descarga todo desde la tienda oficial no, es como decir las armas matan, siempre y cuando estes enfrente de una y q este siendo activada..
Eso no implica que no sea cierto. Basta con que alguien distribuya un APK que esconda código malicioso, y listo. Es mas fácil de lo que parece.
Saludos
Think Different
«La empresa de seguridad Bluebox descubrió anoche .. «
La vulnerabilidad fue documentada a google desde febrero, dejen el copy/paste.
Tienes razón. Ha sido un lapsus, lo que ocurrió anoche fue que se hizo pública la vulnerabilidad. Ya está corregido.
No sé de dónde sacas lo del copy/paste :)
El titulo del articulo no refleja el contenido del mismo. En ningún momento dijeron como funciona la vulnerabilidad. «Cuando no estoy viendo series o durmiendo, escribo de tecnología.» ESTABA DORMIDO
Según puedo leer, en los últimos 3 párrafos se explica, si lo quieres a detalle habrá que ir a la conferencia, no creo que este artículo explique asuntos de seguridad ‘nivel hacker’…
Y es por eso que existe LBE security… uno debe prepararse para todo, le quitas los permisos que no quieras a cualquier app y sigues a salvo… :D (incluso al propio Google Play o la UI jejeje)