Uno de los mecanismos de seguridad que tiene Android son las firmas de aplicaciones, que certifican que una app ha sido creada por cierta entidad y no se ha modificado después. Ahora, algunos certificados de la plataforma de Android se han filtrado y los creadores de malware no han perdido el tiempo en aprovecharlo.
Estos certificados se usan para firmar las aplicaciones del sistema, incluída la app "android" en sí, por lo que se ejecuta con permisos y privilegios elevados, incluyendo el acceso a los datos de usuario. Una app maliciosa firmada con este mismo certificado puede acceder a los mismos privilegios del sistema, y de hecho ya se han encontrado algunos ejemplos de malware de este tipo.
Ups, el certificado
Cualquier desarrollador de aplicaciones Android sabe que debe mantener sus certificados a buen recaudo, pues en caso de perderlo no va a poder crear una nueva versión de la aplicación que se pueda instalar como actualización. Esto es así pues Android comprueba que las actualizaciones de una app se han firmado con el mismo certificado, y por tanto no han sido modificadas por terceras personas.
Por supuesto, las modificaciones de apps siguen existiendo, como WhatsApp Plus, pero no se pueden instalar encima, ya que sus creadores no tienen el certificado original (ni sus credenciales) para firmar la aplicación. Que se filtre el certificado es un desastre de seguridad para cualquier pequeño desarrollador, pero es muchisimo peor cuando estamos hablando del certificado de la plataforma de Android.
Este certificado se usa para firmar algunas de las apps preinstaladas del móvil, incluyendo "android" en sí, android.uid.system, y el problema radica no solo en las actualizaciones modificadas, sino en que el malware firmado con este certificado puede usar el sistema de identificación de usuario compartido y funcionar con los mismos privilegios que "android". Las apps de Android funcionan normalmente aisladas entre sí, pero las firmadas con el mismo certificado pueden compartir datos entre sí, como por ejemplo Facebook y Messenger.
No es un riesgo teórico, sino que ya se ha encontrado malware aprovechando este certificado de seguridad. Según el reporte, que fue cerrado ayer mismo, se han identificado diez muestras de malware firmadas. En APKMirror podemos encontrar algunas de las apps que se firman con este certificado (que no son necesariamente maliciosas, el certificado, como decíamos, era de uso normal para los distintos fabricantes). Si tu móvil tiene alguna de ellas, técnicamente podría ser vulnerable a este problema.
Ejemplos de algunas apps que están firmadas con este certificado (y que no son maliciosas, pero un malware con el mismo certificado puede "heredar" sus privilegios)
Los certificados de plataforma filtrados pertenecen a Samsung, LG, MediaTek, Revoview y los creadores de las tablets de Walmart, según apunta 9to5Google. La solución de Google es que los fabricantes cambien el certificado de la plataforma por uno nuevo, invalidando los filtrados, aunque no está claro cómo de factible es, pues necesitará una OTA y fabricantes afectados como Samsung tienen un catálogo enorme de dispositivos. LG, por otro lado, ya no tiene una división de móviles.
Todavía nos falta por conocer algunos detalles de este grave problema de seguridad del cual, afirma Google, tuvo noticia en mayo de 2022, si bien algunos ejemplos de malware datan de 2016, así que podría darse el caso de que algunos de estos certificados llevaran años en manos de agentes maliciosos. Google afirma haber trabajado conjuntamente con Samsung y resto de marcas afectadas para "tomar medidas inmediatas y minimizar el imapcto", además de proporcionar la siguiente declaración:
Los de socios OEM implementaron rápidamente medidas de mitigación tan pronto como informamos de la clave comprometida. Los usuarios finales estarán protegidos por mitigaciones de usuarios implementadas por los socios. Google ha implementado detecciones amplias para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o haya estado en Google Play Store. Como siempre, recomendamos a los usuarios que se aseguren de estar ejecutando la última versión de Android.
Como siempre, que no cunda el pánico. Google Play Protect debería ser capaz de encontrar las apps sospechosas que incluyan estos certificados y evitar que las instalemos o mantengamos en nuestro móvil, en caso de ya tenerlas instaladas. Para el futuro, Google recomienda también a los fabricantes minimizar las apps que se firman con este certificado.
Vía | Lukasz
