FakeID: Nueva vulnerabilidad crítica afecta a más del 80% de dispositivos que usan Android

Se ha descubierto una nueva vulnerabilidad crítica en Android conocida como Fake ID y que afectaría, según algunas estimaciones, a más del 80% de los dispositivos que utilizan el popular sistema operativo de Google. Este descubrimiento ha sido realizado por la empresa de seguridad móvil Bluebox, los mismos que el año pasado anunciaron también por estas fechas otra vulnerabilidad grave en Android.

Funcionamiento de la vulnerabilidad

Según explican los investigadores de esta empresa en su blog, cada aplicación de Android posee su identidad única que normalmente es heredada de la identidad del desarrollador. La vulnerabilidad descubierta permitiría copiar esta identidad y usarla con propósitos maliciosos.

“Fake ID”, el nombre que recibe esta vulnerabilidad permite a aplicaciones maliciosas hacerse pasar por otras de confianza sin notificar al usuario. Esto puede tener graves consecuencias en la seguridad del sistema permitiendo, por ejemplo, que una aplicación maliciosa se salte medidas de seguridad como la sandbox que incorpora Android y realizar actividades que pongan en riesgo la información privada almacenada en el dispositivo.

Los investigadores ponen como ejemplo a un troyano que se haga pasar por un programa legítimo de Adobe, consiga acceder a los sistemas de pago mediante NFC suplantando la identidad de Google Wallet o pueda llegar a tomar el control total del dispositivo haciéndose pasar por 3LM.

¿A quien afecta?

El alcance de esta vulnerabilidad es muy elevado ya que afecta a todos aquellos dispositivos que tengan instaladas versiones de Android comprendidas entre la 2.1 (enero de 2010) y la 4.4. A pesar de que Google ya solucionó esta vulnerabilidad queda aun una gran mayoría de dispositivos Android que no han sido o no pueden actualizarse a la última versión.

De esta forma, se calcula que más del 80% de dispositivos Android actuales podría estar en riesgo debido a que son vulnerables a la escalada de privilegios que sufre el complemento webview de Adobe System. Esta vulnerabilidad permite a una aplicación maliciosa inyectar código de un troyano (camuflado como complemento de webview) en otras aplicaciones, lo que le permite tomar el control completo de la aplicación, sus datos y hacer todo lo que se le permita hacer a la aplicación.

Problemas a la hora de aplicar una solución efectiva

El parche publicado por Google ha sido enviado a los socios de Android, a la vez que desde Google Play y Verify Apps ya se han empezado a tomar medidas para proteger a los usuarios de esta vulnerabilidad. Los investigadores dicen haber analizado todas las aplicaciones enviadas a Google Play y otras fuera del sitio oficial y no han encontrado evidencias de que actualmente se esté aprovechando esta vulnerabilidad.

El problema, como en otras ocasiones, se encuentra en la fragmentación del sistema operativo Android y en que, la mayoría de las veces, el usuario depende del fabricante de su móvil u operadora de telefonía para recibir las actualizaciones de seguridad, actualizaciones que muchas veces se producen con bastante retraso o no llegan a producirse jamás.

Si a esto le añadimos el desconocimiento que muchos usuarios tienen de los problemas de seguridad de su dispositivo que funciona con versiones antiguas de Android, o que no saben siquiera que versión están usando, tenemos un coctel perfecto que explica porqué el sistema operativo de Google es el más afectado por el malware en dispositivos móviles con diferencia.

Consejos para mitigar el alcance de esta vulnerabilidad

En estos momentos la mejor manera de mantener seguros nuestros dispositivos es actualizar Android. Puesto que el fallo fue solucionado por Google en abril, es posible que dispongamos de una actualización del sistema Android disponible para nuestro dispositivo y aun no la hayamos instalado.

Podemos comprobar la versión que tenemos instalada en Ajustes del sistema > Sistema > Información del teléfono > Versión de Android y, en caso de no ser la más reciente (4.4.x), proceder a instalarla siempre que el fabricante de nuestro dispositivo o nuestra operadora la haya puesto a disposición de sus usuarios. Es posible que esta actualización tarde en llegar o incluso no se produzca nunca dependiendo del teléfono u operador que usemos.

En caso de que no podamos instalar la versión más reciente de Android podemos seguir los siguientes consejos:

• Tener mucho cuidado con la procedencia de las aplicaciones que descargamos. Evitar en la manera de lo posible descargar aplicaciones fuera de mercados oficiales como Google Play o Amazon App Store.
• Comprobar siempre la reputación de la aplicación. Si esta tiene muchas descargas, un desarrollador destacado y los comentarios son favorables, las posibilidades de que se trate de una aplicación maliciosa serán muy bajas.
• Si seguimos con dudas podemos consultar a fuentes externas a Google en foros de usuarios o incluso podemos utilizar sistemas de detección de amenazas en forma de antivirus para Android y otras aplicaciones gratuitas como Conan Mobile.
• Los investigadores de BlueBox han puesto a disposición de todo aquel que lo necesite una aplicación para Android que revisa si nuestro sistema es vulnerable, si permite instalar apps desde fuentes no confiables o si alguna aplicación está tratando de aprovecharse de alguna de las vulnerabilidades que su equipo haya descubierto.

Conclusión

Los investigadores responsables del descubrimiento de esta vulnerabilidad han anunciado que ofrecerán más detalles la semana que viene durante la celebración de BlackHat en Las Vegas. Puesto que estaremos presentes en dicho evento, tomaremos buena nota de lo que comenten e informaremos tan pronto como tengamos nuevas noticias al respecto.

Aunque no se haya descubierto aun ningún malware que se aproveche de esta peligrosa vulnerabilidad siempre vale más la pena prevenir que curar por lo que aplicar los consejos que hemos proporcionado nos pueden ahorrar más de un disgusto que ponga en peligro nuestro dispositivo y la información privada que almacenamos en él.

Josep Albors