Seleccionar página

Hoy, la firma de investigación de seguridad BlueBox, la misma compañía que descubrió la llamada vulnerabilidad de "clave maestra" de Android, anunció el descubrimiento de un error en la forma en que Android maneja los certificados de identidad utilizados para firmar aplicaciones. La vulnerabilidad, que BlueBox ha denominado "Identificación falsa", permite que las aplicaciones maliciosas se asocien con certificados de aplicaciones legítimas, obteniendo así acceso a cosas a las que no deberían tener acceso.

Las vulnerabilidades de seguridad como esta suenan aterradoras, y ya hemos visto uno o dos titulares hiperbólicos hoy cuando esta historia salió a la luz. Sin embargo, cualquier error que permita que las aplicaciones hagan cosas que se supone que no deben hacer es un problema grave. Entonces, resumamos lo que está sucediendo en pocas palabras, lo que significa para la seguridad de Android y si vale la pena preocuparse por…

Actualización: hemos actualizado este artículo para reflejar la confirmación de Google de que tanto Play Store como la función "verificar aplicaciones" se han actualizado para abordar el error de identificación falsa. Esto significa que la gran mayoría de los dispositivos Android activos de Google ya tienen alguna protección contra este problema, como se explica más adelante en el artículo. La declaración de Google en su totalidad se puede encontrar al final de esta publicación.

El problema de los certificados Dodgy

La 'identificación falsa' proviene de un error en el instalador del paquete de Android.

Según BlueBox, la vulnerabilidad se debe a un problema en el instalador de paquetes de Android, la parte del sistema operativo que se encarga de la instalación de aplicaciones. Aparentemente, el instalador del paquete no verifica correctamente la autenticidad de las "cadenas" de certificados digitales, lo que permite que un certificado malicioso afirme que ha sido emitido por una parte confiable. Eso es un problema porque ciertas firmas digitales brindan a las aplicaciones acceso privilegiado a algunas funciones del dispositivo. Con Android 2.2-4.3, por ejemplo, las aplicaciones que llevan la firma de Adobe tienen acceso especial al contenido de la vista web, un requisito para la compatibilidad con Adobe Flash que, si se usa incorrectamente, podría causar problemas. Del mismo modo, suplantar la firma de una aplicación que tiene acceso privilegiado al hardware utilizado para pagos seguros a través de NFC podría permitir que una aplicación maliciosa intercepte información financiera confidencial.

Más preocupante aún, un certificado malicioso también podría usarse para suplantar cierto software de administración de dispositivos remotos, como 3LM, que utilizan algunos fabricantes y otorga un amplio control sobre un dispositivo.

Como escribe el investigador de BlueBox, Jeff Foristall:

"Las firmas de aplicaciones juegan un papel importante en el modelo de seguridad de Android. La firma de una aplicación establece quién puede actualizar la aplicación, qué aplicaciones pueden compartir sus datos [sic], etc. Ciertos permisos, utilizados para acceder a la funcionalidad, solo los pueden usar las aplicaciones. que tienen la misma firma que el creador del permiso. Más interesante aún, las firmas muy específicas reciben privilegios especiales en ciertos casos".

Si bien el problema de Adobe/webview no afecta a Android 4.4 (porque la vista web ahora se basa en Chromium, que no tiene los mismos ganchos de Adobe), el error subyacente del instalador del paquete aparentemente continúa afectando algunas versiones de KitKat. En una declaración dada a Android Central , Google dijo: "Después de recibir noticias de esta vulnerabilidad, emitimos rápidamente un parche que se distribuyó a los socios de Android, así como al Proyecto de código abierto de Android".

Google dice que no hay evidencia de que 'Identificación falsa' esté siendo explotada en la naturaleza.

Dado que BlueBox dice que informó a Google en abril, es probable que se haya incluido alguna solución en Android 4.4.3, y posiblemente algunos parches de seguridad basados ??en 4.4.2 de los OEM. (Ver este compromiso de código gracias a Anant Shrivastava). Las pruebas iniciales con la propia aplicación de BlueBox muestran que el LG G3 europeo, el Samsung Galaxy S5 y el HTC One M8 no se ven afectados por la identificación falsa. Nos comunicamos con los principales OEM de Android para averiguar qué otros dispositivos se han actualizado.

En cuanto a los detalles de la vulnerabilidad de identificación falsa, Forristal dice que revelará más en la Conferencia Black Hat en Las Vegas el 2 de agosto. En su declaración, Google dijo que había escaneado todas las aplicaciones en su Play Store, y algunas alojadas en otras tiendas de aplicaciones, y no encontró evidencia de que el exploit se estuviera utilizando en el mundo real.

La solución Arreglando errores de Android con Google Play

A través de Play Services, Google puede neutralizar este error de manera efectiva en la mayor parte del ecosistema activo de Android.

La identificación falsa es una vulnerabilidad de seguridad grave que, si se enfoca adecuadamente, podría permitir que un atacante cause daños graves. Y como el error subyacente se ha solucionado recientemente en AOSP, podría parecer que la gran mayoría de los teléfonos Android están abiertos a ataques y seguirán siéndolo en el futuro previsible. Como hemos discutido antes, la tarea de actualizar los aproximadamente mil millones de teléfonos Android activos es un desafío enorme, y la "fragmentación" es un problema que está integrado en el ADN de Android. Pero Google tiene una carta de triunfo para jugar cuando se trata de problemas de seguridad como este Servicios de Google Play.

Así como Play Services agrega nuevas funciones y API sin necesidad de una actualización de firmware, también se puede usar para tapar agujeros de seguridad. Hace algún tiempo, Google agregó una función de "verificar aplicaciones" a Google Play Services como una forma de escanear cualquier aplicación en busca de contenido malicioso antes de instalarla. Además, está activado de forma predeterminada. En Android 4.2 y versiones posteriores, se encuentra en Configuración > Seguridad; en versiones anteriores, lo encontrará en Configuración de Google > Verificar aplicaciones. Como dijo Sundar Pichai en Google I/O 2014, el 93 por ciento de los usuarios activos están en la última versión de los servicios de Google Play. Incluso nuestro antiguo LG Optimus Vu, con Android 4.0.4 Ice Cream Sandwich, tiene la opción de "verificar aplicaciones" de Play Services para protegerse contra el malware.

Google ha confirmado a Android Central que la función "verificar aplicaciones" y Google Play se han actualizado para proteger a los usuarios de este problema. De hecho, los errores de seguridad a nivel de aplicación como este son exactamente para los que está diseñada la función "verificar aplicaciones". Esto limita significativamente el impacto de la identificación falsa en cualquier dispositivo que ejecute una versión actualizada de los servicios de Google Play, lejos de que todos los dispositivos Android sean vulnerables, la acción de Google para abordar la identificación falsa a través de los servicios de reproducción lo neutralizó de manera efectiva antes de que el problema se hiciera público. .

Sabremos más cuando la información sobre el error esté disponible en Black Hat. Pero dado que el verificador de aplicaciones de Google y Play Store pueden detectar aplicaciones que usan una identificación falsa, la afirmación de BlueBox de que "todos los usuarios de Android desde enero de 2010" están en riesgo parece exagerada. (Aunque es cierto que los usuarios que ejecutan un dispositivo con una versión de Android no aprobada por Google quedan en una situación más complicada).

Dejar que Play Services actúe como guardián es una solución provisional, pero es bastante efectiva.

De todos modos, el hecho de que Google haya estado al tanto de la identificación falsa desde abril hace que sea muy poco probable que cualquier aplicación que use el exploit llegue a Play Store en el futuro. Como la mayoría de los problemas de seguridad de Android, la forma más fácil y efectiva de lidiar con una identificación falsa es saber de dónde obtienes tus aplicaciones.

Por supuesto, evitar que una vulnerabilidad sea explotada no es lo mismo que eliminarla por completo. En un mundo ideal, Google podría enviar una actualización inalámbrica a cada dispositivo Android y eliminar el problema para siempre, tal como lo hace Apple. Dejar que Play Services y Play Store actúen como guardianes es una solución provisional, pero dado el tamaño y la naturaleza expansiva del ecosistema de Android, es bastante eficaz.

No está bien que muchos fabricantes aún se demoren demasiado en lanzar actualizaciones de seguridad importantes para los dispositivos, particularmente los menos conocidos, como tienden a resaltar problemas como este. Pero es mucho mejor que nada.

Es importante ser consciente de los problemas de seguridad, especialmente si eres un usuario de Android experto en tecnología, el tipo de persona a la que la gente común acude en busca de ayuda cuando algo sale mal con su teléfono. Pero también es una buena idea mantener las cosas en perspectiva y recordar que no solo es importante la vulnerabilidad, sino también el posible vector de ataque. En el caso del ecosistema controlado por Google, Play Store y Play Services son dos herramientas poderosas con las que Google puede manejar el malware.

Así que mantente a salvo y sé inteligente. Lo mantendremos informado con más información sobre la identificación falsa de los principales OEM de Android.

Actualización: un portavoz de Google ha proporcionado a Android Central la siguiente declaración:

"Apreciamos que Bluebox nos haya informado de manera responsable sobre esta vulnerabilidad; la investigación de terceros es una de las formas en que Android se fortalece para los usuarios. Después de recibir noticias de esta vulnerabilidad, emitimos rápidamente un parche que se distribuyó a los socios de Android, así como a AOSP Google Play y Verify Apps también se han mejorado para proteger a los usuarios de este problema. En este momento, hemos escaneado todas las aplicaciones enviadas a Google Play, así como las que Google ha revisado desde fuera de Google Play, y no hemos visto evidencia de intento explotación de esta vulnerabilidad”.

Sony también nos ha dicho que está trabajando para implementar la corrección de identificación falsa en sus dispositivos.

Video: