Mientras Google desarrolla su sistema operativo móvil Android de código abierto, los «fabricantes de equipos originales» que fabrican teléfonos inteligentes Android, como Samsung, juegan un papel importante en la adaptación y seguridad del sistema operativo para sus dispositivos. Pero un nuevo hallazgo que Google hizo público el jueves revela que varios certificados digitales utilizados por los proveedores para validar aplicaciones vitales del sistema se vieron comprometidos recientemente y ya han sido objeto de abuso para poner un sello de aprobación en aplicaciones maliciosas de Android.
Al igual que con casi cualquier sistema operativo de computadora, el Android de Google está diseñado con un modelo de «privilegio», por lo que los diferentes programas que se ejecutan en su teléfono Android, desde aplicaciones de terceros hasta el propio sistema operativo, están restringidos tanto como sea posible y solo se permite el acceso al sistema. en base a sus necesidades. Esto evita que el último juego al que está jugando recopile silenciosamente todas sus contraseñas mientras permite que su aplicación de edición de fotos acceda al rollo de su cámara, y toda la estructura se aplica mediante certificados digitales firmados con claves criptográficas. Si las claves se ven comprometidas, los atacantes pueden otorgar sus propios permisos de software que no deberían tener.
Google dijo en un comunicado el jueves que los fabricantes de dispositivos Android habían implementado mitigaciones, rotando claves y enviando automáticamente las correcciones a los teléfonos de los usuarios. Y la compañía ha agregado detecciones de escáner para cualquier malware que intente abusar de los certificados comprometidos. Google dijo que no ha encontrado evidencia de que el malware se haya colado en Google Play Store, lo que significa que estaba circulando a través de la distribución de terceros. La divulgación y la coordinación para abordar la amenaza ocurrieron a través de un consorcio conocido como Android Partner Vulnerability Initiative.
“Si bien este ataque es bastante malo, tuvimos suerte esta vez, ya que los OEM pueden rotar rápidamente las claves afectadas mediante el envío de actualizaciones de dispositivos inalámbricas”, dice Zack Newman, investigador de la firma de seguridad de la cadena de suministro de software Chainguard, que hizo un análisis del incidente.
Abusar de los «certificados de plataforma» comprometidos permitiría a un atacante crear malware ungido y con amplios permisos sin necesidad de engañar a los usuarios para que los concedan. El informe de Google, realizado por el ingeniero inverso de Android Łukasz Siewierski, proporciona algunas muestras de malware que se estaban aprovechando de los certificados robados. Señalan a Samsung y LG como dos de los fabricantes cuyos certificados se vieron comprometidos, entre otros.
LG no respondió a una solicitud de comentarios de WIRED. Samsung reconoció el compromiso en un comunicado y dijo que «no ha habido incidentes de seguridad conocidos con respecto a esta vulnerabilidad potencial».
Aunque Google parece haber detectado el problema antes de que empeorara, el incidente subraya la realidad de que las medidas de seguridad pueden convertirse en puntos únicos de falla si no se diseñan cuidadosamente y con la mayor transparencia posible. El propio Google presentó un mecanismo el año pasado llamado Google Binary Transparency que puede actuar como un control de si la versión de Android que se ejecuta en un dispositivo es la versión verificada prevista. Hay escenarios en los que los atacantes podrían tener tanto acceso al sistema de un objetivo que podrían derrotar a dichas herramientas de registro, pero vale la pena implementarlas para minimizar el daño y señalar comportamientos sospechosos en tantas situaciones como sea posible.
Como siempre, la mejor defensa para los usuarios es mantener actualizado el software en todos sus dispositivos.
“La realidad es que veremos que los atacantes continúan persiguiendo este tipo de acceso”, dice Newman de Chainguard. “Pero este desafío no es exclusivo de Android, y la buena noticia es que los ingenieros e investigadores de seguridad han logrado avances significativos en la creación de soluciones que previenen, detectan y permiten la recuperación de estos ataques”.