Tras una importante filtración de seguridad, los dispositivos de algunos de los mayores fabricantes de teléfonos inteligentes con Android del mundo son vulnerables a las aplicaciones maliciosas que los sistemas operativos tratan como confiables.
La noticia proviene de Łukasz Siewierski de Android Partner Vulnerability Initiative (APVI) de Google, quien reveló públicamente la vulnerabilidad en noviembre de 2022.
Como lo señaló 9to5Google (se abre en una pestaña nueva)la divulgación de Siewierski no revela directamente a qué principales fabricantes de Android se les han filtrado las claves de firma de su plataforma, pero los análisis de virus de algunos archivos afectados han confirmado que los dispositivos Samsung, LG, Xiaomi, Mediatech, szroco y Revoview están afectados, pero esto es un lista incompleta y en desarrollo.
Abusar de aplicaciones confiables
Para citar a Mishaal Rahman, editor técnico de la plataforma en la nube Esper, «esto es malo. Muy, muy malo».
La vulnerabilidad permite a los actores de amenazas crear aplicaciones maliciosas con privilegios a nivel de sistema e incluso integrar código malicioso en aplicaciones de Android confiables, no maliciosas y preexistentes. Y es por las claves de firma de la plataforma.
Una clave de firma de plataforma es un elemento que utiliza el punto final para asegurarse de que el sistema operativo que se ejecuta es legítimo. Se utilizan para crear aplicaciones firmadas por la plataforma, aquellas que un fabricante de dispositivos ha verificado como seguras y libres de malware.
Si un actor de amenazas obtuviera estas claves, podría usar el sistema de «ID de usuario compartido» de Android para crear una aplicación maliciosa con acceso completo al sistema.
Para empeorar las cosas, no son solo las aplicaciones recién creadas las que pueden ser abusadas de esta manera. Las aplicaciones ya instaladas aún deben firmarse regularmente, lo que significa que los actores de amenazas podrían cargar malware en aplicaciones confiables en poco tiempo.
Después de renunciar, una simple actualización de la aplicación, que Android no vería como un problema, sería suficiente para infectar un dispositivo.
Google detectó el problema por primera vez en mayo de 2022, y la compañía afirma que todos los fabricantes afectados han tomado «medidas de remediación para verificar el impacto del usuario», aunque no se dieron más detalles.
Todavía no está claro si estas medidas han funcionado, ya que 9to5Google también afirmó que algunas de las claves vulnerables se usaron en aplicaciones de Android de Samsung en los últimos días al momento de escribir este artículo.
Aún así, Google dijo que los teléfonos Android son seguros de varias maneras, incluso a través de Google Play Protect, mitigaciones OEM y más. Aparentemente, las aplicaciones que residen en Play Store también son seguras.
“Los socios OEM implementaron rápidamente medidas de mitigación tan pronto como informamos el compromiso clave. Los usuarios finales estarán protegidos por mitigaciones de usuarios implementadas por socios OEM», dijo un portavoz de la compañía.
«Google ha implementado detecciones amplias para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o haya estado en Google Play Store. Como siempre, recomendamos a los usuarios que asegúrese de que estén ejecutando la última versión de Android”.