jueves, 4 de julio de 2013

Bluebox consigue vulnerar gravemente el 99 % de Android


Otra vez, vuelta al ruedo. La seguridad de Android queda al descubierto por parte de una startup, pudiendo modificar cualquier parámetro de tu teléfono sin que salte ninguna alarma, por negligencia de Google.
Señores, la seguridad de Android es terrible. Lo ha sido y parecen empeñados en demostrar que así va a continuar siéndolo con otra vulnerabilidad en Android. En la última de las aventuras, nuestro pequeño amigo robot ve cómo Bluebox, una startup especializada en BYOD (Bring Your Own Device) logra romper la seguridad del 99% de todos los Android debido a su pobre sistema de seguridad a nivel de aplicaciones.
Empecemos por el principio. Desde sus inicios, y con el crecimiento tan brutal que ha tenido, la seguridad en Android ha sido una de sus asignaturas pendientes. Aunque no es que no hayan tomado medidas, sencillamente, no han sido suficientes. La vulnerabilidad en Android de hoy tiene que ver con la firma de las aplicaciones, esta sirve para verificar la integridad de una app y su originalidad, es decir, para ver si es la misma app que te bajaste desde Google Play y, al mismo tiempo, ver si ha sido modificada desde que la descargaste; entendiendo que si un agente externo ha modificado el código de una app, no es para nada bueno, y no es lo que el desarrollador quería…si no, la hubiera actualizado.
Bien, pues debido a discrepancias entre cómo las aplicaciones son verificadas e instaladas, Bluebox ha una vulnerabilidad en Android, ha encontrado la manera de modificar aplicaciones sin que Android se queje en absoluto. Si en serio no creéis que esto es terriblemente graveimaginad una calculadora de las que abundan en Google Play con miles de permisos que no necesitan que modifique WhatsApp para subir todas las fotos que os envían/enviáis a un FTP externo.
O mejor aún, imaginad qué pasa cuando se aprovecha esta vulnerabilidad en Adnroid y modifican apps del sistema que trabajan en conjunto con los fabricantes y que tienen permisos elevados de ejecución (AKA root), esto llega hasta obtener todos los permisos del teléfono pudiendo modificar absolutamente cualquier parámetro de funcionamiento del terminal, redirigir todo nuestro tráfico hacia Internet a otro sitio, quedándose con todas nuestras credenciales de redes sociales.
Como pasa con todas las faltas graves de seguridad, y esta vulnerabilidad en Android no iba a ser excepción, esto sale a la luz después de haber sido reportado a Google en febrero, aunque esto no es garante de nada, ya que la gran mayoría de terminales activos no habrá recibido ninguna actualización en este periodo de tiempo, gracias a la fragmentación de Android y a la dependencia de cada terminal de si su fabricante tiene o no ganas de seguir manteniéndolo actualizado.

No hay comentarios:

Publicar un comentario