Inicio / Entrada de Blog / Master Key, un agujero de seguridad crítico que afecta al 99% de los dispositivos Android

Master Key, un agujero de seguridad crítico que afecta al 99% de los dispositivos Android


 

Según afirma la empresa Bluebox Security, dedicada a la protección de sistemas móviles, el 99 por ciento de los dispositivos basados en Android son vulnerables a un nuevo y virulento agujero de seguridad conocido como Master Key (llave maestra). Esto, según las propias cifras de Google, significaría que casi 900 millones de terminales Android activados en todo el mundo pueden verse afectados.

Según parece, uno de los terminales Android de referencia, Samsung Galaxy S4, no estaría afectado por dicho agujero, ya que podría habérsele aplicado un parche antes de su comercialización, aunque por el momento no hay datos oficiales al respecto.

De acuerdo con las informaciones iniciales, la vulnerabilidad apareció en la versión 1,6 de Android (conocida como Donut) y fue reportada a Google el pasado mes de febrero de 2013, por lo que, previsiblemente, desde entonces la compañía estaría trabajando en la solución, aunque por el momento, no han emitido ningún comunicado en este sentido.

Concretamente, a través de Master Key, un atacante podrá convertir una aplicación aparentemente legítima en un troyano. Para ello tan solo necesitará modificar el código APK, y podría hacerlo sin necesidad de comprometer la firma criptográfica de dicha aplicación (que, supuestamente, debería impedir esta modificación).

Por lo tanto, el debate está en si Android está verificando correctamente la firma criptográfica de las aplicaciones con el fin de que estas no puedan ser manipuladas indebidamente. De confirmarse este hecho, cualquier atacante con conocimientos necesarios podría modificar maliciosamente el código de una aplicación sin que esto afecte a su firma criptográfica, lo que pasaría inadvertido.

Incluso, esta vulnerabilidad podría ir más allá, aprovechando los privilegios especiales que terceros fabricantes (como Cisco, entre otros) tienen para acceder a partes del sistema operativo bloqueadas para el resto de los desarrolladores. En este caso, un atacante con los conocimientos necesarios podría acceder a contraseñas e información de todo tipo de cuentas (correo, bancos, redes sociales…).

Según afirma Jeff Forristal, responsable de tecnología de Bluebox Security, en una entrada del blog oficial de la compañía (http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/), “la instalación de un troyano con los privilegios especiales que tienen los fabricantes puede garantizar el acceso total del sistema Android, incluyendo todas sus aplicaciones instaladas en ese dispositivo y los datos que contienen”. En este grupo, afirma Forristal, se encuentra “el correo electrónico, los SMS y todo tipo de documentos… así como las contraseñas de acceso a los servicios instalados”.

 



 

Por su parte, Forristal tiene previsto dar más detalles del agujero (http://www.blackhat.com/us-13/briefings.html#Forristal) durante la próxima conferencia Black Hat, que se celebrará en Las Vegas (Estados Unidos, del 27 de julio al 1 de agosto). Durante el evento, Forristal repasará las características de esta vulnerabilidad (que, por el momento, se mantiene como de día cero, es decir, todavía sin solución aparente).
(Sin votaciones)
Cargando…