Una vulnerabilidad, presente en Android desde hace cuatro años, permite a los hackers modificar cualquier aplicación firmada digitalmente y transformarla en un troyano. Esto hace que todos los Android vendidos en los últimos cuatro años estén en peligro.

Analistas de la compañía de seguridad móvil de San Francisco, Bluebox Secutiry, han detectado el error y lo presentarán con todo detalle en Black Hat, la conferencia de seguridad que se celebra en Las Vegas a finales de este mes.

La falla es debido a discrepancias en la forma de verificar criptográficamente las aplicaciones Android, lo que permitiría a un atacante modificar los paquetes de aplicaciones (APKs) sin romper las firmas criptográficas de las mismas.

Cuando se instala una aplicación y ésta crea una “zona aislada” (sandbox), Android registra la firma digital de esta aplicación, señala el director de BlueBox, Jeff Forristal. Todas las actualizaciones posteriores de la misma deben coincidir con esta firma, para verificar que proceden del mismo autor, prosigue el experto.

Este es un hecho relevante para el modelo de seguridad de Android, porque asegura que los datos sensibles guardados por una aplicación en su zona aislada solo pueden ser accesibles a nuevas versiones de esa aplicación que estén firmadas con la clave del autor original.

La vulnerabilidad, que existe desde al menos la versión de Android 1.6, llamada Donut, permite  añadir código infectado a la APKs ya firmadas, sin romper sus firmas de seguridad.

Esto supone que potencialmente puede afectar a cualquier dispositivo Android, que haya sido vendido en los últimos cuatro años, según han manifestado los investigadores en un reciente post. “Dependiendo del tipo de aplicación, un pirata puede explotar este fallo para cualquier cosa, desde robar datos a crear una red botnet móvil”, destacan en el mismo.

Incluso puede emplearla para tener acceso total al sistema, si se modifica y distribuye una app originalmente desarrollada por el fabricante del móvil y firmado con la clave de la plataforma (el código que los fabricantes utilizan para el firmware de cualquier equipo).

Los piratas pueden más tarde emplear varios métodos para distribuir estas “aplicaciones troyanas”, incluyendo el correo electrónico o la inclusión en la tienda de aplicaciones de un tercero, o alojándolas en cualquier web.

Utilizar Google Play para distribuir apps que hayan sido modificadas para explotar este fallo ya no es posible, ya que Google ha actualizado la aplicación de entrada a su tienda de aplicaciones para bloquear las unidades que tengan este problema, asegura Forristal, quien mantiene que la información proporcionada por esta compañía sugiere que no hay aplicaciones actualmente en su tienda en línea con este problema.

Google ya fue advertido de este error el pasado febrero y la compañía compartió la información con sus principales socios, incluyendo los miembros de la Open Handset Alliance. Uno de ellos, Samsung ya ha incluido un parche en su Galaxy S4, lo que indica que algunos fabricantes ya han comenzado a cerrar la vulnerabilidad.