Últimamente, muchos usuarios de Android se han relajado de alguna manera. Todo debido al hecho de que las vulnerabilidades del sistema operativo se han vuelto mucho menores. Aunque, es posible que simplemente comenzaran a hablar menos de ellos. De todos modos, esto llevó al hecho de que los usuarios comenzaron a olvidarse de lo que son los virus, y es más audaz descargar aplicaciones de Google Play. Ahora resulta que se relajaron temprano. Por supuesto, tampoco debería entrar en pánico, pero tenga en cuenta que casi todas las aplicaciones también están amenazadas. Lo que es aún más interesante es que ni siquiera se trata de Android y Google no puede arreglar todo a la vez con una decisión decidida. Pero entonces, ¿qué hacer y quién tiene la culpa de esto? De nuevo, dos eternas preguntas rusas.
Según los investigadores de Trustwave, los usuarios de Android de todo el mundo pueden estar en riesgo debido a una vulnerabilidad de omisión de autenticación descubierta recientemente que podría afectar a cualquier aplicación. Y quizás Google pueda hacer muy poco al respecto, a pesar de que afecta a las aplicaciones descargadas de Google Play. De hecho, la compañía dice que actualmente es imposible siquiera determinar qué tan extendido está el problema. Y eso es porque no se trata de Android.
El problema parece ser el resultado directo de una “mala programación” y podría afectar potencialmente a cualquier aplicación. Resulta que las propias aplicaciones y sus desarrolladores tienen la culpa. No sería tan aterrador si no pudiera dar lugar a la filtración de información importante para el usuario. Esto, a su vez, podría conducir a un compromiso o pérdida de información verdaderamente confidencial…
La explotación de esta vulnerabilidad aún no se ha generalizado, pero hay perspectivas de crecimiento. Como resultado, esto puede convertirse en un gran problema para millones de usuarios.
Trustwave dice que el problema radica en los componentes que permiten la mensajería con otras aplicaciones. En la versión actual de casi todas las aplicaciones, son fáciles de manipular. Si todo es así, entonces ese problema realmente no se puede resolver a nivel de Androidy los propios desarrolladores deben participar.
En pocas palabras, cada aplicación de Android viene con un archivo AndroidManifest.xml que se puede exportar de varias formas, pero las aplicaciones y el software son los más comunes. Dado que se puede interactuar con las acciones detectadas allí, se vuelve fácil para un atacante manipular aplicaciones, obligándolo a hacer lo que no debería hacer.
Trustwave utiliza una aplicación de mensajería de muestra creada por la empresa para uso interno. Como resultado, la vulnerabilidad especificada permitió a Trustwave ingresar directamente al sistema de mensajería sin credenciales. Esto les dio la posibilidad de acceder a todos los mensajes del sistema. Todo lo que se necesitaba era acceso al archivo de manifiesto y una forma de realizar acciones como ADB.
El abuso de vulnerabilidad puede ser muy diferente. Por ejemplo, puede obligar a una aplicación a compartir datos, incluso de forma remota, o simplemente ejecutar anuncios dentro de ella. La publicidad se ejecutará naturalmente dentro de las capacidades de la aplicación. Pero, por ejemplo, casi todas las aplicaciones pueden mostrar notificaciones. Este es un canal potencial para publicidad no deseada. El tema de su efectividad preocupa poco a los crackers, ya que en este caso tomarán más volumen.
Dadas las peculiaridades de la vulnerabilidad, Google realmente no puede hacer otra cosa que enviar recomendaciones a los desarrolladores y, como mínimo, comenzar a prohibir sus aplicaciones en su tienda. Sin embargo, en esta etapa, esto es poco probable, ya que literalmente todos tendrán que ser prohibidos. Y la escala del problema aún no es lo suficientemente grande como para hablar de la necesidad de medidas serias.
Por otro lado, los propios desarrolladores de alguna manera deben moverse y tomar la iniciativa para mantener seguros a sus usuarios. Las aplicaciones de un día creadas como parte del pasatiempo de un programador aficionado son una cosa, y los productos serios hechos por grandes estudios para proyectos comerciales es otra muy distinta.
Trustwave señala que la solución más simple y potencialmente más efectiva es que los desarrolladores limiten los componentes exportados a los que realmente necesitan. Es decir, la exportación debe limitarse solo a aquellos componentes que simplemente deben estar disponibles para otras aplicaciones.
Definitivamente seguiremos el desarrollo de los eventos y le diremos a qué conducirá todo esto en nuestro Google News.
En segundo lugar, las aplicaciones deben autocomprobarse para verificar todos los datos recibidos a través de los comandos de intercambio. Además, los desarrolladores deben limitar las fuentes de estos comandos. Esto tampoco brindará protección al cien por cien, pero reducirá significativamente los riesgos de piratería.
Si se toman tales acciones, el sistema en su conjunto se volverá mucho más seguro. Seguramente todos los desarrolladores serios ya son conscientes del problema y están intentando solucionarlo. Bueno, las aplicaciones pequeñas no resultan especialmente interesantes para nadie, y lo peor que pueden hacer los ciberdelincuentes con ellas es rellenarlas de anuncios, que ya son suficientes.
