Una nueva vulnerabilidad en Android facilita la instalación de malware

Un fallo de diseño de Android podría permitir la instalación de

cualquier aplicación sin necesidad de que el usuario de permisos
especiales durante su instalación.

El problema, descubierto por la firma BlueBox Security, recibe el nombre
de “Fake ID” debido a que permite al malware pasar credenciales falsas
a Android, que falla al verificar cadenas de certificados de claves
públicas de la firma criptográfica de la aplicación. En su lugar,
Android otorga a la aplicación maliciosa todos los permisos de acceso
de cualquier aplicación legítima.

Las aplicaciones Android deben estar firmadas para poder ser instaladas
en el sistema, pero el certificado digital empleado para firmar no
necesita estar emitido por una autoridad certificadora. Según la propia
documentación de Android “es perfectamente admisible, y típico, que las
aplicaciones Android usen certificados autofirmados”.

Sin embargo, Android incluye incrustados en su código los certificados
de diversos desarrolladores, para que las aplicaciones de estos
desarrolladores tengan accesos y permisos especiales dentro del sistema
operativo. Uno de estos certificados pertenece a Adobe, y permite a las
aplicaciones firmadas o los certificados emitidos por ella inyectar
código en otras aplicaciones Android. Este comportamiento puede deberse
a que de esta forma se puede permitir a otras aplicaciones hacer uso del
plug-in de Flash Player.
Ver mas informacion al repsecto en Fuente : http://unaaldia.hispasec.com/2014/07/una-nueva-vulnerabilidad-en-android.html
saludos

ms, 31-7-2014