Nos informa Genbeta que se ha descubierto una vulnerabilidad en Android que permite saltarse los permisos de la aplicación y realizar acciones no autorizadas por medio de una técnica que se ha denominado Tapjacking. Es decir, una aplicación sin permisos para hacer nada podría enviar sms o acceder a nuestros datos personales.
La idea es bastante ingeniosa. Se trata de desarrollar una aplicación que, aunque opaca a los ojos del usuario, es transparente para las pulsaciones en pantalla. Si la aplicación lanza otras aplicaciones que estén por debajo de ella, el usuario estará tocando cosas en pantalla que no ve, y podría realizar acciones no deseadas. El vídeo lo explica muy bien.
La verdad es que es bastante rebuscado pero se salta el principal mecanismo de seguridad en Android, que son los permisos que tienen las aplicaciones. La vulnerabilidad fue informada a Google y está corregido en Gingerbread 2.3, pero sigue existiendo para versiones anteriores.
Es por eso que a mi personalmente me da bastante miedo los Markets alternativos que prometen tener las aplicaciones de pago de forma gratuita. ¿Quién nos dice que no meterán algo similar que nos robe información? ¿O que nos bloquee el teléfono y nos pidan dinero para desbloquearlo? Esa es una práctica habitual en los PCs y el mercado móvil puede ser un objetivo. Al menos Google borra las aplicaciones maliciosas de su Market.
Por cierto, aunque la vulnerabildad de Tapjacking se ha descubierto para Android, habría que ver si no existe también para otros sistemas operativos móviles, ya que es bastante ingenioso y no parece requerir grandes fallos del sistema operativo.
En Genbeta | Tapjacking, un problema de seguridad en los móviles Android En Xataka Android | Google borra 21 aplicaciones con contenido malintencionado
Ver 1 comentarios