Compartir

Un fallo de seguridad en Android puede poner en peligro cientos de
millones de teléfonos móviles inteligentes.
La compañía de seguridad
informática Bluebox, que ha descubierto el problema, asegura que un 99
por ciento de los 'smartphones' con este sistema operativo están
afectados
.

“Esta vulnerabilidad, que existe desde el lanzamiento
de la versión 1.6 de Android, puede afectar a cualquier teléfono con
este sistema operativo que se haya puesto a la venta en los últimos
cuatro años”, asegura en un comunicado Jeff Forristal, CTO de la empresa
de seguridad. “Cerca de 900 millones de dispositivos”. El sistema
operativo de Google es el más popular entre los 'smartphones', con una
cuota de mercado cercana al 70 por ciento a nivel mundial.

El
problema es “especialmente grave” porque puede permitir un acceso total
al teléfono y a la información que contiene.
Contactos, correos
electrónicos, fotos, contraseñas, datos bancarios y documentos. Incluso
podría permitir que un atacante tomase el control absoluto del terminal
para realizar llamadas, enviar mensajes, o llevar a cabo cualquier
acción, sin que el usuario se de cuenta.

De momento no hay ninguna
solución pública para este problema. Aun así, y aunque prácticamente
todos los terminales con Android están afectados, hace falta que el
usuario instale una aplicación modificada con propósitos maliciosos
para
que su teléfono quede en una situación comprometida.

El
problema, según explica Forristal, se encuentra en la manera que tiene
Android de asegurar que una aplicación tiene un origen legítimo. “Tiene
que ver con unas discrepancias en como Android gestiona la verificación
criptográfica y la instalación de aplicaciones”, explica el directivo.
Al parecer, hay una manera de alterar la aplicación sin que se modifique
la clave cifrada que la valida como segura, y de origen conocido.

“Todas
las aplicaciones Android tienen unas firmas criptográficas que el
sistema operativo utiliza para determinar que su origen es legítimo, y
que no se ha alterado”, afirma Forristal. Pero el fallo de seguridad,
que se descubrió -y se notificó a Google- en febrero permite hacer
cambios sin afectar a las firmas. Es decir, cambiar la aplicación por
otra, o darle nuevas capacidades potencialmente peligrosas, y que el
teléfono no note nada.

La compañía de seguridad informática ha
asegurado que alertó de este problema a Google
-dueña y principal
desarrolladora de Android- a principios de año. Al parecer ya está
resuelto a nivel técnico, pero este cambio todavía no ha llegado a la
mayoría de terminales porque dependen de las actualizaciones que les
proporcionan los fabricantes de los teléfonos, y no el buscador.