Hoy en día, la firma de investigación de seguridad BlueBox, la misma compañía que descubrió el llamado Vulnerabilidad de la "clave maestra" de Android - ha anunciado el descubrimiento de un error en la forma en que Android maneja los certificados de identidad utilizados para firmar aplicaciones. La vulnerabilidad, que BlueBox ha denominado "Identificación falsa", permite que las aplicaciones maliciosas se asocien con certificados de aplicaciones legítimas, obteniendo así acceso a cosas a las que no deberían tener acceso.
Las vulnerabilidades de seguridad como esta suenan atemorizantes, y ya hemos visto uno o dos titulares hiperbólicos hoy cuando esta historia se ha publicado. Sin embargo, cualquier error que permita a las aplicaciones hacer cosas que se supone que no deben hacer es un problema grave. Así que resumamos lo que está sucediendo en pocas palabras, lo que significa para la seguridad de Android y si vale la pena preocuparse por ...
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Actualizar: Hemos actualizado este artículo para reflejar la confirmación de Google de que tanto la función Play Store como la función "verificar aplicaciones" se han actualizado para solucionar el error de identificación falsa. Esto significa que la gran mayoría de los dispositivos Android activos de Google ya tienen algo de protección contra este problema, como se explica más adelante en el artículo. La declaración de Google en su totalidad se puede encontrar al final de esta publicación.
El problema: certificados dudosos
La 'identificación falsa' se debe a un error en el instalador del paquete de Android.
Según BlueBox, la vulnerabilidad se debe a un problema en el instalador del paquete de Android, la parte del sistema operativo que maneja la instalación de las aplicaciones. El instalador del paquete aparentemente no verifica adecuadamente la autenticidad de las "cadenas" de certificados digitales, lo que permite que un certificado malicioso afirme que ha sido emitido por una parte de confianza. Eso es un problema porque ciertas firmas digitales brindan a las aplicaciones acceso privilegiado a algunas funciones del dispositivo. Con Android 2.2-4.3, por ejemplo, las aplicaciones que llevan la firma de Adobe tienen acceso especial al contenido de la vista web, un requisito para la compatibilidad con Adobe Flash que, si se usa incorrectamente, podría causar problemas. Del mismo modo, falsificar la firma de una aplicación que tiene acceso privilegiado al hardware utilizado para pagos seguros a través de NFC podría permitir que una aplicación maliciosa intercepte información financiera confidencial.
Más preocupante, un certificado malicioso también podría usarse para hacerse pasar por cierto dispositivo remoto software de gestión, como 3LM, que es utilizado por algunos fabricantes y otorga un amplio control sobre un dispositivo.
Como escribe el investigador de BlueBox, Jeff Foristall:
"Las firmas de aplicaciones juegan un papel importante en el modelo de seguridad de Android. La firma de una aplicación establece quién puede actualizar la aplicación, qué aplicaciones pueden compartir sus datos [sic], etc. Ciertos permisos, que se utilizan para acceder a la funcionalidad, solo pueden utilizarlos aplicaciones que tengan la misma firma que el creador del permiso. Más interesante aún, firmas muy específicas reciben privilegios especiales en ciertos casos ".
Si bien el problema de Adobe / webview no afecta a Android 4.4 (debido a que la vista web ahora se basa en Chromium, no tiene los mismos enlaces de Adobe), el error del instalador del paquete subyacente aparentemente sigue afectando a algunos versiones de Kit Kat. En una declaración dada a Android Central Google dijo: "Después de recibir noticias de esta vulnerabilidad, rápidamente publicamos un parche que se distribuyó a los socios de Android, así como al Proyecto de código abierto de Android".
Google dice que no hay evidencia de que la 'identificación falsa' esté siendo explotada en la naturaleza.
Dado que BlueBox dice que informó a Google en abril, es probable que se haya incluido alguna solución en Android 4.4.3, y posiblemente algunos parches de seguridad basados en 4.4.2 de los OEM. (Ver este código se compromete - Gracias Anant Shrivastava.) Las pruebas iniciales con la propia aplicación de BlueBox muestran que el LG G3, Samsung Galaxy S5 y HTC One M8 europeos no se ven afectados por la identificación falsa. Nos comunicamos con los principales fabricantes de equipos originales de Android para averiguar qué otros dispositivos se han actualizado.
En cuanto a los detalles de la vuln de identificación falsa, Forristal dice que revelará más sobre la conferencia Black Hat en Las Vegas el próximo agosto. 2. En su declaración, Google dijo que había escaneado todas las aplicaciones en su Play Store, y algunas alojadas en otras tiendas de aplicaciones, y no encontró evidencia de que el exploit se estuviera utilizando en el mundo real.
La solución: corregir errores de Android con Google Play
A través de Play Services, Google puede neutralizar eficazmente este error en la mayor parte del ecosistema activo de Android.
La identificación falsa es una vulnerabilidad de seguridad grave que, si se apunta correctamente, podría permitir que un atacante cause daños graves. Y como el error subyacente se ha abordado recientemente en AOSP, podría parecer que la gran mayoría de los teléfonos Android están abiertos a ataques, y lo seguirán siendo en el futuro previsible. Como hemos comentado antes, la tarea de actualizar los mil millones de teléfonos Android activos es un desafío enorme, y la "fragmentación" es un problema que está integrado en el ADN de Android. Pero Google tiene una carta de triunfo cuando se trata de problemas de seguridad como este: Google Play Services.
Al igual que los servicios de juego agrega nuevas funciones y API sin necesidad de una actualización de firmware, también se puede utilizar para tapar agujeros de seguridad. Hace algún tiempo, Google agregó una función de "verificar aplicaciones" a los Servicios de Google Play como una forma de escanear cualquier aplicación en busca de contenido malicioso antes de instalarla. Además, está activado de forma predeterminada. En Android 4.2 y versiones posteriores, se encuentra en Configuración> Seguridad; en versiones anteriores, lo encontrará en Configuración de Google> Verificar aplicaciones. Como dijo Sundar Pichai en Google I / O 2014, El 93 por ciento de los usuarios activos utilizan la última versión de los servicios de Google Play. Incluso nuestro antiguo LG Optimus Vu, con Android 4.0.4 Sándwich de helado, tiene la opción "verificar aplicaciones" de Play Services para protegerse contra el malware.
Google ha confirmado Android Central que la función "verificar aplicaciones" y Google Play se han actualizado para proteger a los usuarios de este problema. De hecho, los errores de seguridad a nivel de aplicaciones como este son exactamente para lo que está diseñada la función "verificar aplicaciones". Esto limita significativamente el impacto de la identificación falsa en cualquier dispositivo que ejecute una versión actualizada de los servicios de Google Play, lejos de todas Dado que los dispositivos Android son vulnerables, la acción de Google para abordar la identificación falsa a través de los servicios de Play lo neutralizó de manera efectiva antes de que el problema se hiciera público.
Descubriremos más cuando la información sobre el error esté disponible en Black Hat. Pero dado que el verificador de aplicaciones de Google y Play Store pueden detectar aplicaciones usando Fake ID, la afirmación de BlueBox de que "todos los usuarios de Android desde enero de 2010" están en riesgo parece exagerada. (Aunque es cierto que los usuarios que ejecutan un dispositivo con una versión de Android no aprobada por Google se encuentran en una situación más complicada).
Independientemente, el hecho de que Google haya estado al tanto de la identificación falsa desde abril hace que sea muy poco probable que alguna aplicación que use el exploit llegue a Play Store en el futuro. Como la mayoría de los problemas de seguridad de Android, la forma más fácil y efectiva de lidiar con la identificación falsa es saber de dónde obtiene sus aplicaciones.
Por supuesto, evitar que una vulnerabilidad sea explotada no es lo mismo que eliminarla por completo. En un mundo ideal, Google podría enviar una actualización inalámbrica a todos los dispositivos Android y eliminar el problema para siempre, tal como lo hace Apple. Dejar que Play Services y Play Store actúen como guardianes es una solución provisional, pero dado el tamaño y la naturaleza en expansión del ecosistema de Android, es bastante eficaz.
No significa que esté bien que muchos fabricantes todavía tomen demasiado tiempo para implementar actualizaciones de seguridad importantes en los dispositivos, particularmente en los menos conocidos, ya que problemas como este tienden a destacar. Pero es un lote mejor que nada.
Es importante estar al tanto de los problemas de seguridad, especialmente si eres un usuario de Android experto en tecnología, el tipo de persona a la que la gente común recurre en busca de ayuda cuando algo sale mal con su teléfono. Pero también es una buena idea mantener las cosas en perspectiva y recordar que no solo es importante la vulnerabilidad, sino también el posible vector de ataque. En el caso del ecosistema controlado por Google, Play Store y Play Services son dos herramientas poderosas con las que Google puede manejar malware.
Así que mantente a salvo e inteligente. Lo mantendremos informado con cualquier información adicional sobre identificación falsa de los principales OEM de Android.
Actualizar: Un portavoz de Google ha proporcionado Android Central con la siguiente declaración:
"Apreciamos que Bluebox nos informe de manera responsable sobre esta vulnerabilidad; La investigación de terceros es una de las formas en que Android se fortalece para los usuarios. Después de recibir noticias de esta vulnerabilidad, rápidamente publicamos un parche que se distribuyó a los socios de Android, así como a AOSP. Google Play y Verify Apps también se han mejorado para proteger a los usuarios de este problema. En este momento, hemos escaneado todas las aplicaciones enviadas a Google Play, así como las que Google ha revisado desde fuera de Google Play y no hemos visto evidencia de intento de explotación de este vulnerabilidad."
Sony también nos ha dicho que está trabajando para implementar la corrección de identificación falsa en sus dispositivos.
¿Has escuchado el podcast central de Android de esta semana?
Cada semana, el Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.
- Suscríbete en Pocket Casts: Audio
- Suscríbete en Spotify: Audio
- Suscríbete en iTunes: Audio
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas hasta por tres años.
Estas son las mejores correas para Fitbit Sense y Versa 3.
Junto con el lanzamiento de Fitbit Sense y Versa 3, la compañía también presentó nuevas bandas infinitas. Hemos seleccionado los mejores para facilitarle las cosas.