Un grave error de seguridad pone en peligro a millones de celulares Android: cómo protegerse


Las firmas de aplicaciones son un mecanismo de seguridad de Android para garantizar la fiabilidad de sus actualizaciones. Las apps se firman con una clave privada que tiene un certificado público asociado que comprueba si esas actualizaciones tienen el mismo origen que las apps: esto permite verificar su procedencia y protegerse así de posibles ataques.

Lo que pasó la semana pasada es que algunos de estos certificados de Android se han filtrado y los creadores de malware, esto es, programas maliciosos para atacar otros dispositivos, se han aprovechado la situación para firmar aplicaciones maliciosas.

Estos certificados permiten a los ciberdelincuentes acceder a los datos del usuario, puesto que se ejecutan con permisos y privilegios elevados. Por lo tanto, cualquier app con malware firmada con estos certificados podrá acceder al sistema de la misma manera.

El peligro está en que ahora es más probable que aplicaciones maliciosas se distribuyan como legítimas simulando ser de marcas reales, como Samsung o LG.

Los desarrolladores y vendedores de Android emplean estos certificados para la publicación de aplicaciones del sistema verificando así que se trata de un software seguro. Otorga distinto grado de permisos y privilegios de acceso en función del nivel que se haya concedido.

Fue Mishaal Rahman, editor técnico de Esper, quien alertó de la filtración de algunos certificados de vendedores y su uso para la firma de aplicaciones de Android con malware. Samsung es uno de los fabricantes afectados por la filtración de certificados, lo que supone una importante brecha de seguridad en sus dispositivos. LG, también (aunque ya discontinuó su negocio de teléfonos celulares).

Android 13 es un OS multiplataforma. Foto Google


Android 13 es un OS multiplataforma. Foto Google

Este mecanismo de seguridad certifica que la aplicación no ha sido modificada. El problema es que ahora podría asegurar que aplicaciones maliciosas son seguras. Estas apps aparentemente legítimas podrían ser en realidad aplicaciones con algún tipo de malware que tienen el mismo nivel de acceso que los servicios básicos de Android.

Según asegura Mishaal Rahman, Google recomendó a todos los fabricantes afectados que traten de emplear lo menos posible los certificados y que realicen una investigación interna. Esto podría provocar un retraso en la llegada de nuevas actualizaciones, aunque por el momento se desconocen las consecuencias.

Una de las recomendaciones para hacer frente a la brecha de seguridad es descargar las aplicaciones siempre desde la tienda de Google o desde la tienda del vendedor. Esto se debe a que la filtración afecta únicamente a aquellas descargadas que son manuales y no a las que llegan de manera inalámbrica vía OTA.

El descubrimiento del problema

Los certificados se usan para regular los accesos de los privilegios. Foto AFP


Los certificados se usan para regular los accesos de los privilegios. Foto AFP

Łukasz Siewierski, un ingeniero inverso del equipo de seguridad de Android de Google, publicó en el rastreador de problemas de la Iniciativa de vulnerabilidad de socios de Android (AVPI) que detalla el abuso de los certificados de plataforma OEM para pasar aplicaciones maliciosas como legítimas.

Un certificado de plataforma, también llamado clave de plataforma, “es el certificado de firma de la aplicación que se utiliza para firmar la aplicación ‘android’ en la imagen del sistema. La aplicación ‘android’ se ejecuta con una identificación de usuario altamente privilegiada, android.uid.system, y tiene permisos del sistema, incluidos los permisos para acceder a los datos del usuario”, se lee en la publicación de Siewierski.

La aplicación «android» se ejecuta con los privilegios de sistema más altos, lo que le otorga permisos de «sistema» para acceder y modificar los datos del usuario. Cualquier otra aplicación firmada con este tipo de certificado, advirtieron los investigadores, puede ejecutarse con el mismo nivel de acceso al sistema operativo, los datos y las aplicaciones de Android.

Google informó a todas las partes afectadas sobre los certificados robados o comprometidos. Según una declaración de Samsung sobre el problema, no ha habido incidentes de seguridad conocidos con respecto a esta vulnerabilidad potencial, hasta el momento. Los fabricantes reaccionaron rápidamente y lanzaron actualizaciones de seguridad para sus ediciones personalizadas de Android tan pronto como Google informó el compromiso clave.

Qué esperar para 2023: más ataques

Ciberdelincuentes de REvil, capturados a principio de año. Foto AP


Ciberdelincuentes de REvil, capturados a principio de año. Foto AP

En este sentido, son diversas compañías expertas en seguridad informática las que alertan sobre los problemas que se pueden generar para los usuarios en materia de ciberseguridad.

Un análisis de la consultora Statista prevé que en 2023 el mercado de servicios de nube pública en su conjunto crecerá 21% contra el año anterior, destacándose el segmento de servicios de infraestructura (IaaS), que avanzará un 30,5%; por su parte plataforma como servicio y desktop como servicio crecerán cerca de 24%, y software como servicio casi 18%.

Por otro lado, La tendencia a un mundo hiperconectado e inteligente hará que se expandan las redes de IoT (sensores y dispositivos e infraestructura conectados que recopilan, transmiten y procesan datos). Un estudio prevé que el mercado global IoT crecerá de 478 mil millones de dólares en 2022, a 2,465 mil millones para 2029, con una tasa de interés anual compuesta de 26% durante el período de pronóstico. Esto amplía la superficie de ataque.

Ante distintas situaciones dadas, tanto en América Latina como alrededor del mundo, este concepto cobra cada vez mayor relevancia y es considerada una de las principales prioridades de cualquier organización. Sin embargo, se espera que en los próximos años se tomen las medidas necesarias para minimizar el alcance de los ataques y evitar escenarios donde se ponga en riesgo información privada.

El papel del aprendizaje automático se expandirá. Los sistemas de detección de amenazas habilitados para IA pueden predecir nuevos ataques y notificar a los administradores sobre violaciones de datos al instante.

También habrá un mayor desarrollo de las prácticas proactivas de ciberseguridad tales como las pruebas de penetración y el análisis de vulnerabilidades: se esperan más medidas para garantizar que los dispositivos móviles estén protegidos contra ataques externos. ‍

Por todo esto, es fundamental estar al día con las actualizaciones de seguridad de los dispositivos.

Aunque esta falla de Android deja ver, claramente, que ni así se puede estar 100% seguro.

SL

Mirá también