En la conferencia de seguridad en Washington D.C. del fin de semana pasado, USENIX WOOT 2015, Ir Peles y Roee Hay presentaron una nueva vulnerabilidad que afecta a los dispositivos de Android.
En el artículo titulado “Una clase para dominarlos a todos” (One Class to Rule Them All), los investigadores que trabajan para IBM nos dieron pruebas del concepto de CVE-2014-3153, una vulnerabilidad que encontraron en Android Open SSLX509. Aprovechándose de esto, el ataque podrá instalar aplicaciones en el Smartphone e incluso garantizar privilegios sobre todo el dispositivo en sí.
Los atacantes pueden usar esto para remplazar aplicaciones auténticas por fakes
Si se explota este error, lo único que necesitarán los hackers sería un punto de entrada en el dispositivo. Ya que estos sólo deben ejecutar un pequeño código para obtener los privilegios, podrían ocultarlo en cualquier aplicación mejor o juego e incluso subirlo a lugares como Google Play Store, donde miles de usuarios realizan descargas de manera habitual.
Una vez que se efectúa la instalación y se ejecuta el código, la aplicación recibirá los privilegios. Si el punto de entrada del atacante es una aplicación maliciosa, y además el código también contiene procedimientos más complejos, el usuario se encontraría en un gran problema.
Si esto no fuera suficiente, también podrían aprovecharse de los archivos APK que sirven también para instalar aplicaciones. A raíz de esto, podrían incluso reemplazar aplicaciones con otras que no sean. No obstante, no se limitaría únicamente a esto, pues los hackers podrían descargar cualquier cosa que quisieran de los dispositivos al tener el control sobre estos.
El 55% de los dispositivos Android se encuentran afectados
De acuerdo con los investigadores, todas las versiones de Android que se encuentren entre la 4.3 y 5.1 se encuentran afectadas. Esto incluiría Jelly bean, KitKat, Lollipop y la última versión que todavía no tiene nombre.
Además, el equipo de IBM está tomando la iniciativa para arreglar de la manera apropiada esta vulnerabilidad.
