El tema de los fallos de seguridad y Android es algo con lo que hay que convivir. Si bien la mayoría se solucionan lo antes posible, otros tardan bastante en solucionarse. Tanto como uno que permite acceder a información de los usuarios desde aplicaciones malintencionadas (malware) desde la versión de Android 2.1 (enero de 2010).
Lo habitual es que el malware sólo afecte a aquellos usuarios que acceden a sitios web dudosos o que se instalan aplicaciones descargadas de fuentes de dudosa reputación. En la mayoría de los casos, aunque nos instalemos malware, Android evita que puedan acceder a información sensible, salvo que haya algún fallo de seguridad de por medio. En el fallo que lleva existiendo desde 2010, el malware se puede saltar el sandboxing (ejecución aislada del resto del sistema de la aplicación) dentro del que se ejecutan las aplicaciones para acceder a nombres de usuario y contraseñas que tengamos almacenadas en el dispositivo.
El fallo sigue existiendo en Android 4.4 aunque sea menos peligroso pese a los cambios que se han ido introduciendo para mejorar la seguridad del sistema operativo. Es menos peligroso por que el sandboxing se lo pueden saltarse ciertos tipos de aplicaciones como Flash, que además puede hacer de plugin de otras aplicaciones por lo que es una manera de que el malware se salte directamente el sandboxing, pero es una posibilidad que se ha eliminado en Android 4.4 KitKat.
Si vamos al fallo de seguridad en sí, Android no valida correctamente los certificados de seguridad de las aplicaciones por lo que pueden hacerse pasar por Flash y otras apps con permisos privilegiados para saltarse el sandboxing, pero también se proporcionan certificados a empresas para que hagan lo que quieran en el sistema operativo (dentro de unos límites) como puedan ser las apps de seguridad para empresas de 3LM.
En la práctica pueden acceder a todo el teléfono. Mediante este problema con los certificados, es posible hacer pasar una aplicación por Google Play como si fuera de un desarrollador como Google, Microsoft y otros legítimos y hacer que lleguen a los usuarios finales, instalándola directamente de una fuente en la que todos los usuarios de Android confían en la actualidad (o casi todos). Google es consciente de este fallo (que lleva existiendo cuatro años y medio) y un portavoz ha emitido el siguiente comunicado:
We appreciate Bluebox responsibly reporting this vulnerability to us; third-party research is one of the ways Android is made stronger for users. After receiving word of this vulnerability, we quickly issued a patch that was distributed to Android partners, as well as to AOSP. Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play, and we have seen no evidence of attempted exploitation of this vulnerability.
El fallo de seguridad, denominado Fake ID, ha sido reportado a Google por Bluebox Security. Google ya ha proporcionado la corrección del fallo a los fabricantes. Como siempre, una enorme cantidad de dispositivos quedarán para siempre expuestos a él ante la falta de compromiso de actualizar sus terminales "antiguos" que tienen los fabricantes. Alternativas: instalar una ROM que contenga el parche para este (y otros) fallo de seguridad en terminales antiguos. Aunque ahora mismo no se esté explotando demasiado el fallo, la llegada de esta noticia puede hacer que a partir de ahora sí lo sea.
Vía: Ars Technica.