Bluebox ha descubierto un fallo de seguridad que afecta a teléfonos y tablets Android desde 2010, y que permitiría acceder a datos bancarios e incluso tomar el control de los ajustes del dispositivo.
Han denominado a este malware «Fake ID«.
Los ID digitales sirven para verificar entre otras cosas que las aplicaciones realmente son lo que dicen ser, y que por tanto vienen de una fuente segura o de confianza. Pero, ¿es eso cierto?.
Existe un fallo al comprobar la autoridad. Al parecer al sistema Android le basta si se tiene la certificación (con esto es suficiente), pero no se verifica la certificación en sí, con lo que existe la posibilidad de engañarle.
Según Bluebox, se trata de una vulnerabilidad generalizada que se remonta a 2010. Todos los dispositivos anteriores a Android 4.4 («KitKat») son vulnerables, y permiten la escalada de privilegios en el plugin de webview Adobe System, que permite que una aplicación maliciosa pueda inyectar código troyano en otras aplicaciones. Android 4.4 es vulnerable a la falsificación de identidad solamente, pero no específicamente a la webview plugin de Adobe System, debido a un cambio en el componente webview (Kitkat tiene nuevo Webkit).
Como en otras ocasiones han alertado a Google, para que se pueda parchear el sistema. Y como de costumbre Google ya ha creado la solución.
El problema es el de siempre, las actualizaciones. Ayer ya comentamos el problema de muchos terminales, así que sigue las recomendaciones de evitar programas dudosos, etc. (Bueno, si tienes Kitkat, en caso contrario webview empeora el panorama y abre nuevas puertas a peligros mayores).
Solución detección, el escaner de seguridad de bluebox que añade la verificación de este fallo.
Gracias de nuevo a Bluebox.
