Descubren un grave fallo de seguridad en el navegador de Android

Si aún usas el navegador básico de Android, el que viene por defecto en las versiones de código abierto de Google (AOSP) y que la propia empresa incluía en la mayoría de teléfonos hasta hace unos años, es mejor que busques una alternativa. Un grave fallo de seguridad permite ejecutar libremente código Javascript en cualquier ventana abierta del navegador.

Un fallo al identificar apps pone en riesgo millones de móviles Android

Un fallo en Android abre de nuevo la puerta a la entrada de malware, en este caso haciéndose pasar or actualizaciones de aplicaciones legítimas. El problema ha sido bautizado como Fake ID y, aunque Google asegura haberlo solucionado, hay millones de móviles que todavía podrían sufrir la vulnerabilidad.

Fake ID lleva con nosotros desde 2010. Afecta a Android desde la versión 2.1 a la 4.4. En abril de este año, Google publicó una actualización de Kit Kat que soluciona el agujero de seguridad pero, según datos de la propia compañía, el 82,1% de los smartphones Android funcionan sobre versiones no actualizadas.

Bluebox Labs, que es la empresa que ha descubierto Fake ID, señala que el fallo está en como Android comprueba los permisos de seguridad de las aplicaciones instaladas. El sistema operativo otorga certificados de seguridad a las aplicaciones para que estas tengan acceso a diferentes partes del teléfono y datos del usuario. Sin embargo, los certificados a veces se establecen en cadena. En otras palabras, hay aplicaciones cuya identificación remite a un certificado de seguridad “padre”. Si, por ejemplo, tenemos ya instalada una aplicación con el certificado de seguridad de Adobe Systems, una segunda aplicación supuestamente de Adobe puede remitir a este certificado para identificarse.

Se supone que Android verifica el certificado de seguridad “hijo” contrastándolo con el de su “padre”, pero en Bluebox aseguran que no es así. Un malware disfrazado de aplicación legítima con un certificado de seguridad que aluda a otro puede colarse en el smartphone.

El daño que esta puerta trasera podría ocasionar depende del malware, pero puede ser extenso. Bluebox cita, por ejemplo, al Adobe System webview plugin, un módulo que podría ser usado para inocular software malicioso en otras aplicaciones. La vulnerabilidad, en definitiva, podría ser usada para revelar datos de Google Wallet por NFC, para cosechar información personal de aplicaciones de redes sociales, o para tomar control de ciertas aplicaciones.

Desde Google aseguran que ya han liberado un parche para sus asociados y en Android Open Source Project que soluciona el problema. La compañía asegura que, tras escanear las aplicaciones de Google Play, no tienen constancia de que haya habido intentos de aprovechar Fake ID con malas intenciones. Según Google, en definitiva, el problema está resuelto. Bluebox ofrece su aplicación de seguridad para escanear nuestro dispositivo y comprobar si está en riesgo. [Bluebox vía The Guardian]
El fallo fue detectado por Rafay Baloch el pasado 1 de septiembre y de momento Google no se ha pronunciado al respecto. Es más, ha pasado prácticamente desapercibido hasta ayer, cuando Metasploit decidió escribir un extenso artículo sobre el mismo.

El problema, para Google, es que aunque la compañía ha intentado mover la mayoría de teléfonos Android hacia el navegador Chrome, el navegador por defecto (conocido por muchos simplemente como ‘Android Browser’) sigue siendo el más utilizado en la red y las versiones AOSP de Android suponen casi tres cuartas partes del mercado. En países en vías de desarrollo prácticamente todos los smartphones Android a la venta están construidos sobre la plataforma abierta de Google. Aunque la compañía cree un parche, muchos de estos teléfonos no reciben actualizaciones periódicas.

Aún más preocupante: desde que Google decidió abandonarlo para potenciar Chrome, varias webs han publicado tutoriales sobre como reinstalar el viejo navegador, que consume menos recursos que la nueva alternativa. Si aún usas el navegador por defecto o si lo reinstalaste por este motivo, éste es un buen momento para cambiar. [vía Metasploit]

Ver mas informacion al respecto en Fuente:
http://es.gizmodo.com/un-fallo-al-identificar-apps-pone-en-riesgo-millones-de-1612614549

saludos

ms, 17-9-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies