Inicio / Entrada de Blog / Google soluciona el agujero de Android Master Key

Google soluciona el agujero de Android Master Key

Google soluciona el agujero de Android Master Key
 

 

Si bien hace pocos días (https://www.efefuturo.com/blog/master-key-un-agujero-de-seguridad-critico-que-afecta-al-99-de-los-dispositivos-android/) informábamos sobre una vulnerabilidad especialmente crítica que afectaba al 99 por ciento de los dispositivos Android, hoy ya podemos anunciar que Google ha lanzado un parche que protege a los usuarios vulnerables.

Sin embargo, antes de que esto sucediera, por Internet ya circulaba un “exploit” que permitía a usuarios con conocimientos suficientes aprovechar esta debilidad en terminales aún vulnerables.

Recordemos que la vulnerabilidad conocida como Master Key afecta a la mayor parte de dispositivos basados en Android y permite a un atacante convertir una aplicación aparentemente legítima en un troyano. Para ello tan solo necesitará modificar el código APK, y podría hacerlo sin necesidad de comprometer la firma criptográfica de dicha aplicación (que, supuestamente, debería impedir esta modificación).

El problema fue descubierto por la empresa Bluebox (http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/), aunque inicialmente no dieron detalles de cómo aprovechar este problema. No obstante, poco después, desde el grupo de desarrolladores CyanogenMod, quienes distribuyen versiones modificadas de Android, se publicaron más detalles en un informe (https://jira.cyanogenmod.org/browse/CYAN-1602), junto con el parche de Google ya aplicado en sus sistemas (en la versión 10.1.1).

Por su parte, Bluebox ha desarrollado una aplicación gratuita, accesible desde la tienda de aplicaciones de Android, Google Play (https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner), que permite diagnosticar su un terminal es vulnerable a “Master Key”. También se puede encontrar la aplicación en el AppStore de Amazon (http://www.amazon.com/Bluebox-Security-Scanner/dp/B00DU4AKZ8/ref=sr_1_1), y en el servicio GetJar (http://getjar.com/mobile/782358/bluebox-scanner). Desde la compañía señalan que la aplicación “permitirá chequear si tu dispositivo Android ha sido actualizado para evitar esta vulnerabilidad sin necesidad de ponerse en contacto con el fabricante del dispositivo o con la operadora en cuestión”.

Los usuarios de terminales Android irán recibiendo el parche para “Master Key” en sus terminales a través de las actualizaciones del sistema. Para aplicar dicha mejora deberán acudir al menú de actualizaciones de su sistema operativo, en el menú “Ajustes”, “Acerca del teléfono”, “Actualizaciones de software del sistema”.
(Sin votaciones)
Cargando…