Un nuevo (ish) exploit ha sido publicado hoy por la gente de Redes de Palo Alto que describe cómo un error en el instalador del paquete de Android podría infectar teléfonos antiguos con malware. El exploit funciona contra versiones de Android anteriores a Android 4.3 y no afecta a las aplicaciones instaladas a través de Google Play. Todavía es algo de lo que se debe hablar, ya que muchos usuarios podrían verse afectados.
Pero eso no significa necesariamente que debas preocuparte mucho, aunque aproximadamente la mitad de todos los dispositivos Android actualmente activos son sub-Jelly Bean. Esto es lo que pasa.
Cómo funciona
Cuando descarga un paquete de aplicación (archivo apk), el instalador del paquete se ejecuta para instalarlo en su sistema. El exploit aquí actúa sobre esos paquetes y cambia un poco para instalar algo diferente de lo que pensar estás a punto de instalar. Hace esto mientras mira la pantalla del instalador y lee los permisos. En resumen, dice "Sí" para lo que desea instalar, y el exploit lo cambia a una aplicación diferente en segundo plano mientras dice que sí.
Eso es obviamente malo. Pero aquí está la cosa:
Esto solo funciona con tiendas de aplicaciones de terceros. Cuando descarga una aplicación de Google Play, los archivos de descarga de la aplicación van al almacenamiento protegido (carpetas con permisos de lectura/escritura/ejecución al estilo de Linux) y solo el instalador del paquete tiene acceso a a ellos. Cuando descarga un archivo apk desde cualquier otro lugar, se almacena sin protección (una carpeta sin permisos de lectura/escritura/ejecución) y muchos otros procesos tienen acceso al archivo sin formato.
El la gente de Palo Alto Networks entra en detalles sobre cómo se pueden explotar los archivos apk de esta manera, y vale la pena leerlo si te gusta ese tipo de cosas.
¿Quién está afectado?
Cualquier dispositivo Android que ejecute una versión anterior a Android 4.3 se verá potencialmente afectado. google lo dice parcheó la vulnerabilidad en Android 4.3_r09, y las versiones más nuevas no deberían verse afectadas.
Amazon dice que parchó la vulnerabilidad en su App Store y que todos los usuarios deberían usar la última versión. disponible aquí.
Si usa otros mercados de aplicaciones o descarga directamente archivos apk de otras fuentes, corre riesgo si su dispositivo ejecuta una versión de Android anterior a la 4.3. En En respuesta a Palo Alto Networks, Google ha dicho: "El equipo de seguridad de Android no ha detectado ningún intento de explotar esta vulnerabilidad en los dispositivos de los usuarios", por lo que el problema no es generalizado.
¿Qué debo hacer si soy vulnerable?
Solo descargue e instale aplicaciones de Google Play, Amazon u otro de confianza fuente. Como la mayoría de las instancias de malware, este exploit depende de que los usuarios descarguen aplicaciones de personas con el deseo de hacer cosas malas. Evita esas personas y lugares y no te verás afectado.