Investigadores de IBM han encontrado un agujero de seguridad crítico en el SO Android de Google que afectaría a más del 55% de los usuarios de la plataforma. En estos momentos ya existe parche, aunque no llegará a todos los usuarios de forma rápida.
Según cuenta IBM, la vulnerabilidad encontrada podría permitir que una aplicación maliciosa sin privilegios tenga la capacidad de convertirse en una aplicación con la que un posible atacante se adueñe del dispositivo en cuestión.
La vulnerabilidad, asignada a CVE-2015-3825, afecta a las versiones Android 4.3 y superiores, incluyendo la última versión de Android M. En esencia, el agujero reside en un componente de la plataforma Android llamado OpenSSLX509Certificate, el cual puede ser explotado por una aplicación para Android que compromete al sistema hasta el punto de acceder a su totalidad.
Un ejemplo de ello lo podemos ver en el vídeo que han colgado desde IBM junto al paper publicado. En las imágenes podemos ver un ataque a modo de prueba que demuestra la forma en que fueron capaces de explotar el agujero utizando una app maliciosa y sustituirla por la aplicación real de Facebook, con el fin de robar las credenciales de acceso a la red social.
Una vez que el usuario ejecuta esa aplicación (sin privilegios aparentes), se descarga un código adicional que sobrescribe la app existente, cargado con un exploit que ofrece permisos adicionales a través de la vulnerabilidad encontrada. Además, los investigadores también descubrieron otra serie de agujeros en SDKs de terceros que podrían permitir a posibles atacantes ejecutar código remoto desde apps que utilizan estos SDK.
IBM ha informado ya a Google del fallo antes de presentar el paper publicado y ya se ha emitido un parche, aunque como ocurre muchas veces es muy posible que la gran mayoría de usuarios de Android tarden en recibirlo o incluso no lleguen a hacerlo.
Según cuenta IBM, la vulnerabilidad encontrada podría permitir que una aplicación maliciosa sin privilegios tenga la capacidad de convertirse en una aplicación con la que un posible atacante se adueñe del dispositivo en cuestión.
La vulnerabilidad, asignada a CVE-2015-3825, afecta a las versiones Android 4.3 y superiores, incluyendo la última versión de Android M. En esencia, el agujero reside en un componente de la plataforma Android llamado OpenSSLX509Certificate, el cual puede ser explotado por una aplicación para Android que compromete al sistema hasta el punto de acceder a su totalidad.
Un ejemplo de ello lo podemos ver en el vídeo que han colgado desde IBM junto al paper publicado. En las imágenes podemos ver un ataque a modo de prueba que demuestra la forma en que fueron capaces de explotar el agujero utizando una app maliciosa y sustituirla por la aplicación real de Facebook, con el fin de robar las credenciales de acceso a la red social.
Una vez que el usuario ejecuta esa aplicación (sin privilegios aparentes), se descarga un código adicional que sobrescribe la app existente, cargado con un exploit que ofrece permisos adicionales a través de la vulnerabilidad encontrada. Además, los investigadores también descubrieron otra serie de agujeros en SDKs de terceros que podrían permitir a posibles atacantes ejecutar código remoto desde apps que utilizan estos SDK.
IBM ha informado ya a Google del fallo antes de presentar el paper publicado y ya se ha emitido un parche, aunque como ocurre muchas veces es muy posible que la gran mayoría de usuarios de Android tarden en recibirlo o incluso no lleguen a hacerlo.
Android cada día recuerda más al Windows de la era XP. Cada día un boquete crítico nuevo. Sólo que en el caso de Android, ni siquiera llegan los parches a los usuarios finales.
El problema no es que tenga o no tenga una vulnerabilidad, el problema es que ni este, ni el que afecta a la 4 que se encontró la semana pasada o el,que afecta a todos los Android desde la 2.3 de hace 2 semanas, van a ser tapados para la mayoría de móviles que no se pueden actualizar a la última versión, que son más del 70% de móviles Android vendidos. O Google cambia su política, o va a pasar algo gordo en una de estas vulnerabilidades.
Ahora la pelota esta en el tejado de los fabricantes al igual que con stagefright, Google ya lo ha parcheado en los dispositivos Nexus (ayer me llego la OTA)
sinceramente, me preocupa lo mas minimo.
El problema está en que ahora a ver qué fabricantes actualizan los terminales, y si realmente acaban llegando a todos. La política de actualizaciones de Android es nefasta y viendo lo que se acaban preocupando los fabricantes por los terminales que lanzan al mercado una vez los han cobrado está claro que muchísimos no van a actualizar.
Google tiene que cambiar de una vez la política de licenciamiento del sistema operativo y tomar el control de ciertas actualizaciones porque aunque digan que es responsabilidad del fabricante los que firman el sistema operativo son ellos y esto puede acabar desembocando en una espantada de usuarios en un futuro no muy lejano. Recordemos que la gente que pretende gastarse 600 eurs en un terminal son fácilmente convencibles de que se pillen un iPhone y para la gama baja Microsoft está apostando por Windows Phone de una forma correcta.
Luego está el factor de lo movido que es el mercado de móviles, que no son PCs que se cambian renuevan en plazos muy dilatados en años, es muy frecuente encontrar gente que cambia el móvil cada año o cada dos, hay más movimiento y poca gente se mantiene fiel a una marca o sistema operativo.
En conclusión, Google, haz los deberes de una vez, da un manotazo en la mesa y cambia lo que tengas que cambiar, porque te puedes acabar metiendo en un problema muy gordo.
Exacto
Te da igual de verdad?