Una gran fuga de Android dejó a los teléfonos inteligentes de Samsung y LG vulnerables al malware, según un Googler que sacó a la luz el problema.
Según Łukasz Siewierski (via Mishaal Rahman (se abre en la nueva pestaña)), un empleado de Google e ingeniero inverso de malware, se filtraron los certificados de varios fabricantes de equipos originales de Android, que podrían haberse utilizado para inyectar malware en los teléfonos inteligentes. Esta vulnerabilidad afectó a las principales compañías de Android, incluidas Samsung, LG y MediaTek.
Empresas como Samsung usan certificados de plataforma para validar sus aplicaciones para su uso en Android. Como se describe en el rastreador de problemas, las aplicaciones firmadas con este certificado se ejecutan con una «identificación de usuario altamente privilegiada – android.uid.system – y contiene permisos del sistema, incluidos permisos para acceder a los datos del usuario. Cualquier otra aplicación firmada con el mismo certificado puede declarar que quiere ejecutarse con la misma identificación de usuario, dándole el mismo nivel de acceso al sistema operativo Android.»
Básicamente, las aplicaciones que usan estos certificados de los principales fabricantes de equipos originales podrían obtener acceso a permisos de nivel de sistema sin la entrada del usuario. Es especialmente problemático porque los malos actores podrían disfrazar sus aplicaciones como aplicaciones del sistema con este método. Las aplicaciones a nivel de sistema tienen permisos de gran alcance y generalmente pueden hacer / ver cosas en su teléfono que ninguna otra aplicación puede hacer. En algunos casos, estas aplicaciones tienen más permiso que usted.
Por ejemplo, el malware podría inyectarse en algo como la aplicación de mensajes Samsung. Esto podría firmarse con la tecla Samsung. Luego aparecería como una actualización, pasaría todas las comprobaciones de seguridad durante la instalación y le daría a malware acceso casi total a sus datos de usuario en otras aplicaciones.
Amigos, esto es malo. Muy, muy mal. Los hackers y / o los expertos maliciosos han filtrado los certificados de plataforma de varios proveedores. Estos se utilizan para firmar aplicaciones de sistema en compilaciones de Android, incluida la aplicación «android» en sí. ¡Estos certificados se están utilizando para firmar aplicaciones maliciosas de Android! https://t.co/lhqZxuxVR91 de diciembre de 2022
Hay algunas buenas noticias, ya que el equipo de seguridad de Android destaca que los fabricantes de equipos originales aparentemente han abordado el problema.
«Los socios de OEM implementaron rápidamente medidas de mitigación tan pronto como informamos el compromiso clave. Los usuarios finales estarán protegidos por las mitigaciones de los usuarios implementadas por los socios OEM. Google ha implementado amplias detecciones para el malware en Build Test Suite, que escanea las imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o esté en Google Play Store. Como siempre, recomendamos a los usuarios que se aseguren de que ejecutan la última versión de Android.»
Samsung también dijo Policía de Android en una declaración de que se han emitido actualizaciones desde 2016 y que «no se han conocido incidentes de seguridad con respecto a esta vulnerabilidad potencial.»
En cualquier caso, debido a las protecciones proporcionadas por Google Play Protect, los usuarios no deberían tener que preocuparse por estas vulnerabilidades de las aplicaciones que instalan desde Play Store. Sin embargo, siempre debe tener cuidado con las aplicaciones de carga lateral para su Teléfono Android y siempre asegúrese de estar usando la última versión de Android.