Mientras Google se desarrolla su código abierto sistema operativo móvil Android, los fabricantes de equipos originales “” que fabrican teléfonos inteligentes Android, como Samsung, juegan un papel importante en la adaptación y seguridad del sistema operativo para sus dispositivos. Pero un nuevo hallazgo que Google hecho público el jueves revela que varios certificados digitales utilizados por los proveedores para validar aplicaciones de sistemas vitales se vieron recientemente comprometidos y ya se ha abusado de ellos para poner un sello de aprobación en Android malicioso aplicaciones.
Al igual que con casi cualquier sistema operativo de computadora, el Android de Google está diseñado con un modelo “privilegiado”, por lo que se ejecuta un software diferente en su teléfono Android, desde aplicaciones de terceros hasta el sistema operativo en sí, están restringidos tanto como sea posible y solo se permite el acceso al sistema en función de sus necesidades. Esto evita que el último juego que estás jugando recopile en silencio todas tus contraseñas mientras permites que tu aplicación de edición de fotos acceda al rollo de tu cámara, y toda la estructura se aplica mediante certificados digitales firmados con claves criptográficas. Si las claves están comprometidas, los atacantes pueden otorgar sus propios permisos de software que no debería tener.
Google dijo en un comunicado el jueves que los fabricantes de dispositivos Android habían implementado mitigaciones, rotando teclas y enviando las correcciones a los teléfonos de los usuarios automáticamente. Y la compañía ha agregado detecciones de escáner para cualquier malware que intente abusar de los certificados comprometidos. Google dijo que no ha encontrado evidencia de que el malware se coló en Google Play Store, lo que significa que estaba circulando a través de la distribución de terceros. La divulgación y coordinación para abordar la amenaza ocurrió a través de un consorcio conocido como Android Partner Vulnerability Initiative.
“Si bien este ataque es bastante malo, esta vez tuvimos suerte, ya que los OEM pueden rotar rápidamente las claves afectadas enviando actualizaciones de dispositivos por aire,” dice Zack Newman, investigador de la firma de seguridad de la cadena de suministro de software Chainguard, que hizo algunos análisis del incidente.
Abusar de los certificados de plataforma comprometidos “” permitiría a un atacante crear malware ungido y tiene permisos extensos sin necesidad de engañar a los usuarios para que los otorguen. El informe de Google, del ingeniero inverso de Android Łukasz Siewierski, proporciona algunas muestras de malware que aprovechaban los certificados robados. Señalan a Samsung y LG como dos de los fabricantes cuyos certificados se vieron comprometidos, entre otros. Samsung reconoció el compromiso en un comunicado y dijo que “no se han conocido incidentes de seguridad con respecto a esta vulnerabilidad potencial.”
Aunque Google parece haber captado el problema antes de que se disparara, El incidente subraya la realidad de que las medidas de seguridad pueden convertirse en puntos únicos de falla si no están diseñadas cuidadosamente y con la mayor transparencia posible. Google mismo debutó Un mecanismo el año pasado llamado Google Binary Transparencia que puede actuar como una verificación de si la versión de Android que se ejecuta en un dispositivo es la versión prevista y verificada. Hay escenarios en los que los atacantes podrían tener tanto acceso al sistema de un objetivo que podrían derrotar tales herramientas de registro, pero vale la pena desplegarlos para minimizar el daño y marcar comportamientos sospechosos en tantas situaciones como sea posible.
Como siempre, la mejor defensa para los usuarios es mantenga actualizado el software en todos sus dispositivos.
“La realidad es que veremos a los atacantes continuar persiguiendo este tipo de acceso,” dice Newman de Chainguard. “Pero este desafío no es exclusivo de Android, y la buena noticia es que los ingenieros e investigadores de seguridad han logrado un progreso significativo en la construcción de soluciones que previenen, detectan, y permitir la recuperación de estos ataques.”