Los usuarios de dispositivos móviles con Android que descargan sus aplicaciones de Google Play Store tienen plena confianza en que los artículos que obtienen son legítimos y están libres de ataques de puerta trasera, especialmente que Google formó recientemente un equipo de revisión para examinar las aplicaciones. Pero un nuevo método de ataque, aunque invisible en el entorno del mundo real, podría convertir su aplicación legítima en un malware que, según un investigador de seguridad, podría poner en peligro a la mitad de los dispositivos Android en todo el mundo.
Zhi Xu, ingeniero senior de Palo Alto Networks, descubrió el potencial del ataque basándose en un estudio hipotético que muestra que las aplicaciones legítimas de Google Play pueden crear un punto de entrada en un dispositivo Android para otra aplicación proveniente de tiendas de aplicaciones de terceros. Esta aplicación de una fuente de terceros puede permitir que la aplicación legítima de Google Play tenga acceso a una amplia gama de datos, incluidos nombres de usuario, contraseñas y otros datos confidenciales.
Según los hallazgos de Xu, este método de ataque puede ayudar a los atacantes a alterar las aplicaciones de manera sigilosa, sin que el propietario del teléfono detecte. Se llama técnica de secuestro silencioso, a través de la cual un pirata informático puede reemplazar la aplicación real que está descargando de Google Play con otra aplicación que probablemente contenga un malware.
Los proveedores de servicios de tiendas de aplicaciones como Google y Amazon ya están encontrando una solución a la vulnerabilidad. Los usuarios, mientras tanto, pueden hacer algo al respecto. Los expertos en seguridad recomiendan que se actualicen a las nuevas versiones del sistema operativo Android, como Android 4.4 y superior, para solucionar el problema de una vez por todas.
Según Xu, el PackageInstaller utilizado para instalar aplicaciones de Android en dispositivos es lo que causa el problema. El instalador contiene una especie de vulnerabilidad, llamada tiempo de verificación a tiempo de uso, que un secuestrador puede usar para sustituir aplicaciones legítimas por maliciosas porque PackageInstaller en versiones anteriores de Android no autentica el archivo APK en el momento de utilizar.
Sin embargo, afortunadamente, el ataque solo funciona cuando una aplicación se descarga y se guarda en un espacio desprotegido, en este caso en sistemas de archivos más allá del perímetro de Google Play. Entonces, la técnica del secuestrador es evidente ahora, primero intentarían instalar lo que parece ser una aplicación segura y luego lanzarían una aplicación maliciosa una vez que detecten aplicaciones instaladas de fuentes de terceros. Esto sucede durante el proceso de instalación, una forma muy sutil de eludir cualquier forma de método de detección por parte del usuario, que al azar simplemente da permiso cuando se le pide.
Por lo tanto, si todavía usa Android 4.1 o versiones anteriores, actualice a la última versión si es posible para evitar este tipo de ataque.
