Los dispositivos con Android sufren un grave fallo de seguridad que afectaría al 99 por ciento de los dispositivos según un informe de la startup de seguridad Bluebox. El fallo afectaría a la firma digital que valida la autenticidad de un paquete de aplicación en Android (APK), que permitiría modificar su contenido dejando el valor de autenticación intacto.

Esto abre la puerta a insertar todo tipo de código malicioso (malware) dentro de cualquier aplicación que se descargue fuera de Google Play (pero no se descarta que también se puedan ver afectadas las que se distribuyen a través de la tienda de Google), ya sean troyanos, programas de phising o envío de SMS Premium (el más perjudicial para los usuarios).

Cuando se empaqueta una aplicación, se genera una clave de validación de acuerdo a, entre otras cosas, los archivos de aplicación que contiene. Esa clave es la que se puede utilizar por parte de los usuarios para saber si la aplicación que se van a instalar es la que proporciona el desarrollador o no, comparando la clave del archivo con la del desarrollador. La clave también es usada por el instalador para autenticar y verificar la procedencia del paquete.

Esto afecta a todos los dispositivos Android desde la versión 1.6 (Donut) de hace cuatro años, afectando a más de 900 millones de dispositivos en todo el mundo. Un hacker especialmente maligno podría crear versiones especiales de una aplicación que tenga permisos elevados (root) para hacer y deshacer a su gusto en Android. Es un fallo de seguridad que se puede considerar extremadamente grave porque no están seguras tampoco las aplicaciones Google Play.

Google tiene conocimiento de este fallo de seguridad desde febrero, pero todavía no se sabe si está trabajando en ello. Aun así, debido a la fragmentación de Android, aunque le ponga solución en las nuevas versiones, la mayoría de los usuarios no van a recibir una actualización para sus terminales y van a estar expuestos a todo un arsenal de malware que irá apareciendo al explotar este fallo de seguridad. Lo ideal sería que Google corrigiera el error y los fabricantes parchearan inmediatamente todos los terminales y versiones de Android que están en el mercado, pero en la práctica va a ser imposible.

Las recomendaciones que deberíais tomar inmediatamente, y que recomienda Bluebox:

  • Extremar la precaución de dónde os bajáis los APK. Si es de un desarrollador, hacedlo de su página web o de Google Play, y solo aplicaciones fiables.
  • Las empresas deberían solicitar a los usuarios que actualicen sus terminales inmediatamente si utilizan sus dispositivos personales en el trabajo también (BYOD, bring your own device).
  • Las empresas de IT deberían empezar a mejorar en los aspectos de comprobación de integridad y seguridad de la información corporativa.

Este exploit puede hacer que en los próximos meses se genere una cantidad muchísimo mayor de malware. Tened mucho ojo con lo que os descargáis. Bluebox detallará cómo se realiza este exploit en la conferencia Black Hat USA, así que o Google parchea inmediatamente el fallo, o se avecina tormenta.

Actualización: Samsung incluye la corrección a este problema para los Galaxy S4, ya que en febrero Google notificó del fallo a todos sus socios, pero Google no ha solucionado el problema todavía en los terminales Nexus. También se indica que el fallo no se puede dar en las aplicaciones de Google Play, ya que Google ha actualizado el cargador de aplicaciones para no permitir aquellas que explotaran este problema.