Los investigadores dicen que una vulnerabilidad recientemente parcheada en Android podría dejar a los usuarios vulnerables a los ataques de las aplicaciones firmadas.
La vulnerabilidad, llamada Janus, permitiría que una aplicación maliciosa agregue bytes de código a los formatos APK o DEX utilizados por las aplicaciones de Android sin afectar la firma de la aplicación. En otras palabras, un cabrón podría empaquetar una aplicación con instrucciones maliciosas, y aún así Android lo leería como un software de confianza.
El problema, dicen los investigadores de la firma de seguridad móvil GuardSquare, radica en la forma en que Android 5.0 y posterior maneja los archivos APK y DEX para algunas aplicaciones. Al verificar únicamente ciertos bytes en la firma de una aplicación, los dispositivos podrían leer una firma alterada como auténtica y permitir que las instrucciones maliciosas se inserten en un archivo APK o DEX sin ser detectadas.
“Un atacante puede reemplazar una aplicación confiable con privilegios altos (una aplicación del sistema, por ejemplo) por una actualización modificada para abusar de sus permisos. Dependiendo de la aplicación específica, esto podría permitir que el pirata informático acceda a información confidencial almacenada en el dispositivo o incluso tome sobre el dispositivo por completo “, dice GuardSquare.
“Alternativamente, un atacante puede pasar un clon modificado de una aplicación sensible como una actualización legítima, por ejemplo, en el contexto de la banca o las comunicaciones. La aplicación clonada puede verse y comportarse como la aplicación original, pero inyectar un comportamiento malicioso“.
La vulnerabilidad CVE-2017-13156, se abordó en el nivel de parche 1 de la actualización de diciembre de Android, por lo que aquellos que obtienen sus parches directamente de Google deberían estar protegidos. Desafortunadamente, debido a la naturaleza del ecosistema de Android, muchos proveedores y proveedores tardan en lanzar correcciones.
Sin embargo, existen algunos factores atenuantes que pueden proteger a las máquinas vulnerables. Para empezar, observa GuardSphere, el ataque no se pudo realizar a través de Play Store, por lo que las aplicaciones obtenidas de ese servicio deberían ser seguras. Además, la versión 2 de la APK de Android realiza una comprobación más exhaustiva de la firma que atrapará el ataque.
“Las versiones anteriores de las aplicaciones y las aplicaciones más recientes que se ejecutan en dispositivos más antiguos siguen siendo susceptibles“, dijo la compañía.
“Los desarrolladores deben, al menos, aplicar siempre el esquema de firma v2“.
