La falla fundamental de 'identificación falsa' permite que el malware se ejecute salvajemente

Una de las mejores cosas de los sistemas operativos móviles es el sandboxing. Esta técnica divide las aplicaciones en compartimientos, evitando que las aplicaciones riesgosas (o cualquier aplicación) tengan rienda suelta sobre su Android. Pero una nueva vulnerabilidad podría significar que el sandbox de Android no es tan fuerte como pensábamos.

¿Qué es?

En Black Hat, Jeff Forristal demostró cómo una falla en la forma en que Android maneja los certificados podría usarse para escapar de la caja de arena. Incluso podría usarse para dar a las aplicaciones maliciosas mayores niveles de privilegios, todo sin darles a las víctimas una idea de lo que está sucediendo en su teléfono. Forristal dijo que esta vulnerabilidad podría usarse para robar datos, contraseñas e incluso tomar el control total de múltiples aplicaciones.

En el centro del problema están los certificados, que son básicamente pequeños documentos criptográficos destinados a garantizar que una aplicación sea lo que dice ser. Forristal explicó que es exactamente la misma tecnología utilizada por los sitios web para garantizar la autenticidad. Pero resulta que Android no examina las relaciones criptográficas entre los certificados. Esta falla, dijo Forristal, es "bastante fundamental para el sistema de seguridad de Android".

El resultado práctico es que puedes crear una aplicación maliciosa, usar un certificado falso y, en lo que respecta a Android, la aplicación es legítima. Este problema subyacente, que Forristal llama Fake ID, introduce numerosas vulnerabilidades y vulnerabilidades en Android. Durante su demostración, Forristal usó un teléfono nuevo comprado seis días antes.

Que hace

En su demostración, Forristal utilizó una actualización falsa de los Servicios de Google que contenía código malicioso usando una de las vulnerabilidades de identificación falsa. La aplicación se entregó junto con un correo electrónico de ingeniería social donde el atacante se presenta como parte del departamento de TI de la víctima. Cuando la víctima va a instalar la aplicación, ve que la aplicación no requiere ningún permiso y parece legítima. Android lleva a cabo la instalación, y todo parece estar bien.

Pero en el fondo, la aplicación de Forristal ha utilizado una vulnerabilidad de identificación falsa para inyectar automáticamente e inmediatamente código malicioso en otras aplicaciones en el dispositivo. Específicamente, un certificado de Adobe para actualizar Flash cuya información fue codificada en Android. En cuestión de segundos, tenía el control de cinco aplicaciones en el dispositivo, algunas de las cuales tenían acceso profundo al dispositivo de la víctima.

Esta no es la primera vez que Forristal se ha metido con Android. En 2013, Forristal sorprendió a la comunidad de Android cuando presentó el llamado exploit Master Key. Esta vulnerabilidad generalizada significaba que las aplicaciones falsas podían disfrazarse como legítimas, lo que potencialmente daba a las aplicaciones maliciosas un pase gratuito.

Verificar ID

La presentación de Forristal no solo nos dio las noticias reveladoras sobre Android, sino que también nos brindó una herramienta para proteger a nuestros amigos. Forristal lanzó una herramienta de escaneo gratuita para detectar esta vulnerabilidad. Por supuesto, eso todavía significa que las personas tendrán que evitar que el malware ingrese a sus teléfonos.

El error también se ha informado a Google, y aparentemente los parches están saliendo a diferentes niveles.

Más importante aún, todo el ataque depende de que la víctima instale la aplicación. Es cierto que no tiene la bandera roja de pedir muchos permisos, pero Forristal dijo que si los usuarios evitan las aplicaciones de "lugares sombreados" (léase: fuera de Google Play) estarán a salvo. Por ahora.