Grave vulnerabilidad en Android permite modificar las aplicaciones sin cambiar su firma

Sin duda una de las noticias del día es que han descubierto una vulnerabilidad que puede suponer que el 99% de los dispositivos Android sean vulnerables. Sus descubridores han sido los investigadores de Bluebox Security y se trata de la posibilidad de modificar el código de un APK sin romper la firma criptográfica de la aplicación. Todavía no se sabe bién cómo, si con una clave maestra u otra técnica, pero el detalle de la vulnerabilidad y cómo explotarlo serán presentados en la conferencia Black Hat USA 2013 del próximo mes.

El bug fue reportado a Android en febrero de este año (8219321) y afecta a todas las versiones desde Android 1.6 Donut, es decir, a todas desde hace 4 años


Si bien parece que algunos fabricantes ya están actualizando sus firmwares como el del Samsung Galaxy S4, hay otros que todavía tienen una asignatura pendiente como increiblemente los Nexus de Google. Por otro lado muchos dispositivos permanecerán vulnerables porque han alcanzado su end-of-life y no son soportados, por lo que el asunto se presenta serio.

La única nota positiva es que Google desde hace tiempo ya no permite actualizar las aplicaciones de su Play Store fuera de sus mecanimos de actualización, por lo que instalar aplicaciones desde el mercado aplicaciones "oficial" puede considerarse seguro. La única excepción serían todos aquellos en los que los gobiernos autoritarios no permiten directamente acceeder al Play Store u otras que tienen cierto gusto por aplicaciones que no son permitidad por Google, como aquellas con contenido pornográfico...

Fuentes:

900 million Android phones vulnerable to hacking from 'master key'
Uncovering Android Master Key That Makes 99% of Devices Vulnerable
Bluebox reveals Android security hole, may affect 99 percent of devices
Here’s why most users won’t be affected by the latest Android flaw
Vulnerability allows attackers to modify Android apps without breaking their signatures

2 comentarios :

  1. Buenas Vicente, me gustaria intentar contactar contigo para una ayudita en estegoanalisis y esteganografia. Espero tu respuesta un saludo y muy buen trabajo como siempre. Magnifico blog!!!

    Un saludo.

    ResponderEliminar
  2. Hola Diego, puedes contactar conmigo a través de la cuenta de correo del blog: hackplayers@ymail.com

    Saludos

    ResponderEliminar