Tu smartphone Samsung o Xiaomi podría estar en grave peligro debido a una filtración de los certificados de seguridad.
La APVI (Android Partner Vulnerability Initiative) es una división dentro de Google, que se encarga de descubrir fallos de seguridad presentes en el sistema operativo y sus servicios asociados, e informar a Google sobre ellos para que pueda subsanarlos.
Recientemente, uno de sus miembros ha informado sobre la existencia de una grave vulnerabilidad presente en la plataforma, que pone en grave peligro los dispositivos de marcas como Xiaomi, Samsung o LG, así como aquellos que cuentan con un procesador MediaTek.
La vulnerabilidad tiene su origen en una filtración de los certificados utilizados por estas compañías para firmar las aplicaciones del sistema, y se han descubierto amenazas que se aprovechan de esta filtración para firmar aplicaciones maliciosas e intentar llevar a cabo diferentes tipos de ataques.
¿Por qué son tan importantes estos certificados?
Android, del misimo modo que otros sistemas operativos, emplea certificados de seguridad que se emplean para firmar las aplicaciones. Estas firmas son utilizadas, por ejemplo, para garantizar que la versión de Android que utiliza un dispositivo es legítima, o que las aplicaciones preinstaladas en el sistema provienen del propio fabricante del dispositivo.
Gracias a estas firmas, Android puede ahorrarse el trabajo de realizar otras comprobaciones de seguridad al instalar una aplicación. Así, si el sistema detecta que se ha utilizado la firma del fabricante, Android permite su instalación y otorga a la app permiso total a nivel del sistema. A grandes rasgos, una aplicación maliciosa firmada con uno de estos certificados, tendría el mismo acceso al sistema que el propio proceso que se encarga de ejecutar todo del sistema operativo Android (dicho proceso se identifica como android.iud.system).
Smartphones de Samsung, Xiaomi, LG o con procesador MediaTek son vulnerables a la amenaza
A día de hoy, ya se han encontrado diversos tipos de malware que utilizan este tipo de certificados para infectar dispositivos Android. Y, aunque de momento no se ha compartido la lista completa de fabricantes cuyos certificados se han filtrado, sí se ha podido descubrir que marcas como Samsung, LG, MediaTek o Xiaomi se incluyen entre las afectadas.
Google, por su parte, ya ha avisado a los fabricantes sobre la necesidad de intercambiar los certificados utilizados para realizar las firmas, y no volver a utilizar aquellas que se filtraron. También se les recomienda evitar siempre que sea posible utilizar los certificados para firmar aplicaciones de terceros. Adicionalmente, ha emitido un comunicado en el que se informa sobre la existencia de distintas medidas de seguridad, destinadas a evitar que los dispositivos de las víctimas se vean afectados:
Los socios OEM aplicaron rápidamente medidas de mitigación tan pronto como informamos del compromiso de la clave comprometida. Los usuarios finales estarán protegidos por las mitigaciones implementadas por los socios OEM. Google ha implementado amplias detecciones para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay ninguna indicación de que este malware esté o haya estado en Google Play Store. Como siempre, aconsejamos a los usuarios que se aseguren de estar ejecutando la última versión de Android.
Las primeras pistas sobre la amenaza fueron descubiertas en el mes de mayo de 2022. No obstante, se han encontrado amenazas activas desde el año 2016 que aprovechaban esta brecha.
De cara a los usuarios, no hay demasiado que se pueda hacer más allá de mantener la versión de Android siempre actualizada a la más reciente disponible, así como instalar los parches de seguridad disponibles. También se recomienda evitar la instalación de aplicaciones provenientes de fuentes externas a Google Play siempre que sea posible.
Ver Comentarios
Fuente info
Autor: Christian Collado