Una empresa de seguridad ha descubierto una grave vulnerabilidad que afecta a todos los teléfonos con Android desde la versión 1.6. En concreto, el fallo permite que una aplicación maliciosa modifique cualquier programa instalado, introduciendo un troyano que tendría todos los permisos de seguridad del programa modificado.
Como parte de la seguridad de Android, las aplicaciones están firmadas y en teoría cualquier cambio en las mismas sería detectado por el sistema. Sin embargo con esta vulnerabilidad la modificación pasaría inadvertida y, con la aplicación adecuada como objetivo (por ejemplo algunas aplicaciones propias que instalan fabricantes como Samsung o HTC), se tendría un acceso completo al teléfono.
Así, el atacante podría leer emails, sms y documentos, obtener contraseñas de los servicios utilizados, hacer llamadas, encender la cámara y grabar o tomar fotos e, incluso, montar una botnet de smartphones zombis.
Según sus descubridores Google fue informado del fallo el pasado mes de febrero, por lo que ya podría tener disponible una solución. El problema es que hay millones de teléfonos Android sin soporte para nuevas actualizaciones y sería obligación de los fabricantes proporcionar una solución a los usuarios.
Mientras tanto, la recomendación principal, que debería ser la conducta habitual de los usuarios, es no instalar ninguna aplicación cuyo origen no sea de confianza.
