Otro nuevo agujero de seguridad vuelve a poner en peligro tu Android
La seguridad en Android siempre ha estado en entredicho. Sus detractores siempre han asegurado que es un sistema muy poco seguro, y no les falta razón. Aunque nos pese reconocerlo, las apps de Android están escritas en Java y no es que se trate de un lenguaje famoso por dejar pocos cabos sueltos.
El caso es que hace tan sólo unos días se ponía en conocimiento del público la existencia de Stagefright, una amenaza silenciosa que puede tomar el control de tu terminal con sólo un MMS aprovechando una debilidad de Hangouts. En Rootear ya dimos una guía de protección muy básica que, sin embargo, no era más que un pequeño parche que no solucionaba nada realmente. En Rootear también te hablamos de una app para conocer tu grado de vulnerabilidad a Stagefright, pero es en manos de Google y de los fabricantes donde está la posibilidad de proteger a los usuarios.
Pues bien, ayer nuestros compañeros de Andro4all dieron la voz de alarma con respecto a un nuevo exploit silencioso que amenaza a los terminales Android, que permite que las aplicaciones sean capaces de hacer un escalado de privilegios por ellas mismas y sin intervención del usuario o de apps específicas para ello como SuperSU, y nosotros no vamos a ser menos. Es algo preocupante, de modo que vamos a intentar explicar cómo funciona este nuevo hack.
¿Otro rootkit para Android?
En otros blogs de Difoosion habrás podido leer razones a favor de rootear y también razones para no rootear un terminal Android. Con esta nueva amenaza de seguridad tienen más sentido que en otras ocasiones las razones para no hacerlo.
La nueva vulnerabilidad ha sido descubierta por dos investigadores de IBM llamados Or Peles y Rooee Hay, que redactaron el informe One Class To Rule Them All y en el que incluyeron la vulnerabilidad CVE-2014-3153, que es de la que estamos hablando en este artículo. Con esta vulnerabilidad un posible atacante podría conseguir con una app los mismos permisos que tenga el usuario.
Dicho de otra manera, se puede insertar una especie rootkit en una app certificada con unas pocas líneas de código. Para quienes no sepan qué es un rootkit, podemos definirlo a grandes rasgos como un tipo de malware que se esconde a sí mismo dentro de programas o se oculta a la visión del sistema, y concede a los atacantes permisos de uso como los del administrador del equipo.
Aunque CVE-2014-3153 puede no ser un rootkit exactamente, su funcionamiento es bastante similar. Lo mejor es que veas de qué estamos hablando en el siguiente vídeo:
Resumiendo un poco el contenido del vídeo, podemos decir que para que un dispositivo se infecte bastaría con subir una fakeapp a Google Play. Una fakeapp es una especie de señuelo, algo que te dice que es una cosa y en realidad es otra. De esto ya hablamos en un artículo anterior haciendo referencia al timo de la cámara de visión nocturna. En esta fakeapp se replicaría el código completo de la app a imitar y se introducirían las modificaciones que permiten el escalado de privilegios.
Silencioso como Stagefright, pero con intervención del usuario
CVE-2014-3153 es una vulnerabilidad totalmente silenciosa y el usuario no sabrá que ha sido infectado en ningún momento. Lo que sí está claro es que para poder infectarse debe ser el usuario el que lo permita, y sólo afecta a poco más de la mitad de los dispositivos Android que existen hoy en día --incluidas las Android M Developer Preview--. Sin embargo, esto no lo hace menos peligroso, aunque su radio de infección sea menor que el de Stagefright.
En Google ya conocen la existencia de esta vulnerabilidad y ya la están parcheando. El tiempo de reacción de la empresa de Mountain View con respecto a Stagefright fue muy rápido, pero tal y como dijimos entonces, diremos ahora: No es lo mismo Google que los fabricantes.
En otros artículos he dicho que ser el sistema operativo más usado te expone a este tipo de amenazas --que se lo pregunten a los usuarios de Windows en los ordenadores personales--, y también es cierto que cuatro ojos ven más que dos. Es decir, es muy posible que al desarrollador se le escape algún agujero en la seguridad, pero el caso de Android clama al cielo. En cualquier caso, esperamos un tiempo de reacción rápido por parte de Google y de los principales fabricantes.