Una empresa de seguridad china descubrió otra vulnerabilidad similar a la que recientemente ha amenazado a casi la totalidad de los dispositivos Android. Según la firma, esta vulnerabilidad que puede ser explotada para modificar aplicaciones legítimas de Android sin necesidad de romper las firmas digitales.

La vulnerabilidad es diferente a la que descubrieron investigadores de la firma BlueBox Security anunciada la semana pasada. Ambas vulnerabilidades permiten a los hackers inyectar código malicioso en “paquetes de aplicaciones Android con firma digital, conocidas como APK, sin que sea necesario desbloquear las firmas.

Cabe señalar que Android registra la firma digital de la aplicación la primera vez que se instala. Además se crea una “sandbox” para ésta. Todas las actualizaciones posteriores de esa aplicación tienen que ser firmadas criptográficamente por el mismo desarrollador con el objetivo de que se pueda verificar que no han sido manipuladas.

Si un hacker es capaz de modificar la firma de estas aplicaciones legítimas significa que puede engañar a los usuarios para que instalen actualizaciones falsas para aplicaciones que ya se encuentran en sus dispositivos Android. Si esto ocurre, el hacker podrá acceder a todos los datos potencialmente sensibles que estén almacenados en las aplicaciones. Además, si éstas son especificas del sistema, como aquellas que han sido preinstaladas por los fabricantes de los dispositivos, podrían ser ejecutadas con privilegios de sistema.

“Es una forma diferente de aproximación para conseguir el mismo objetivo que la vulnerabilidad descubierta” la semana pasada, ha asegurado Pau Oliva Fora, ingeniero de seguridad móvil en ViaForensics.

La nueva vulnerabilidad permite a los atacantes inyectar código en archivos particulares que existen en APK, específicamente en sus cabeceras, de una manera que no es necesario que pase por el proceso de verificación de la firma, ha asegurado Pau Oliva Fora. Los archivos que pueden ser modificados se denominan classes.dex. Para que el ataque tenga éxito, el tamaño de los archivos específicos tiene que estar bajo 64KB.

Según palabras de Jeff Forristal, director de tecnología de Bluebox Security, la vulnerabilidad descrita en el blog chino es plausible, creible y tiene el mismo impacto que la vulnerabilidad de Android “masterkey” descubierta por la firma. Sin embargo, “Bluebox tiene conocimiento de un método ligeramente diferente, más amplio y con menos limitaciones técnicas que las que se relatan en ese blog”. Éste ya ha sido puesto en conocimiento de Google que ya ha lanzado un parche para solventar los problemas que pueda causar.