Varios certificados de OEM de Android se han hecho públicos recientemente debido a una importante brecha de seguridad. Millones de teléfonos inteligentes Android en todo el mundo ahora son vulnerables al malware debido a este problema de seguridad.
Los investigadores de seguridad advierten contra el desarrollo de aplicaciones maliciosas que pueden acceder a sistemas operativos Android completos debido a una importante fuga de seguridad. Un ingeniero de malware que trabaja para Google, Lukasz Siewierski, informó de la fuga.
Varios OEM de Android, incluidos Samsung, LG y MediaTek, han filtrado sus certificados de firma de aplicaciones, según el equipo de seguridad de Android de Google, lo que facilita que los piratas informáticos instalen aplicaciones maliciosas en los dispositivos.
Contenido:
¿Qué hacen los certificados de firma de aplicaciones?
La firma de la aplicación es una unidad importante de la seguridad de los teléfonos inteligentes Android. Porque la clave utilizada para firmar aplicaciones siempre debe mantenerse en secreto. Esta es simplemente una técnica para garantizar que las actualizaciones de la aplicación provengan del creador original.
Android.uid.system es un ID de usuario con muchos privilegios que utilizan las aplicaciones firmadas con este certificado. Este último tiene acceso a los datos del usuario y otros derechos del sistema. Con el mismo nivel de acceso al sistema operativo Android, cualquier otra aplicación certificada con el mismo certificado puede anunciar que desea ejecutarse con el mismo ID de usuario.
El problema es que varios de estos certificados de LG, Samsung y MediaTek parecen haber sido comprometidos y, peor aún, utilizados para firmar software malicioso.
En pocas palabras, un hacker que tenga una clave privada puede infectar aplicaciones populares con malware. Independientemente de dónde venga el software. La aplicación recibe una actualización porque la versión maliciosa usa la misma clave en la que confía la seguridad de Android.
Los piratas informáticos podrían propagar malware en teléfonos Android
Peor aún, los OEM afectados no pudieron reemplazar las claves comprometidas por otras nuevas. Y no pudo eliminar los comprometidos. En cambio, siguieron usándolos. Samsung, por otro lado, envió recientemente actualizaciones de aplicaciones que compartían la misma clave. Aún así, Google descubrió el problema por primera vez en mayo de 2022.
Esto indica que los piratas informáticos pueden haber inyectado malware en las aplicaciones legítimas de Samsung. Es posible que la infección haya surgido como una actualización, superado los controles de seguridad de la instalación y obtenido acceso prácticamente completo a sus datos de usuario en otras aplicaciones.
Google ha tomado varias medidas para garantizar que los teléfonos Android sean seguros. Como reducciones de OEM, Google Play Protect y más. Según los informes, las aplicaciones disponibles a través de Play Store también son seguras. Cuando informaron a los socios OEM del compromiso crítico, actuaron rápidamente para tomar medidas correctivas. Las mitigaciones implementadas por los socios OEM protegerán a los usuarios finales, dice la compañía.
Nuevo malware peligroso en Android
El gigante tecnológico instó a las empresas afectadas a «rotar el certificado del sistema operativo reemplazándolo con un nuevo conjunto de claves públicas y privadas». La compañía declaró: “También deberían realizar una investigación interna. Para identificar la causa raíz del problema y tomar medidas para evitar que los problemas vuelvan a ocurrir en el futuro. Por lo tanto, esperamos que LG, MediaTek y Samsung actualicen sus certificados. Tan pronto como sea posible para proteger a sus usuarios de los piratas informáticos.
“Google ha implementado detecciones integrales para el malware en Build Test Suite, que escanea imágenes del sistema. Google Play Protect también detecta el malware. No hay indicios de que este malware esté o haya estado en Google Play Store. Como siempre, recomendamos a los usuarios que se aseguren de estar usando la última versión de Android”.
Continuaremos monitoreando los desarrollos relacionados con este problema de seguridad y lo actualizaremos lo antes posible.
