Cómo funciona el último bug de seguridad de Android y cómo evitarlo
Es la noticia del día y, probablemente, también lo vaya a ser de la semana, del mes y del año. Hay un fallo de seguridad muy grave implantado en todos los Android desde la versión 1.6. El informe, del equipo BlueBox, es bastante pesimista, por cuanto desvela que han conseguido la llave maestra para firmar las aplicaciones de Android. Una vez que todo el mundo ha dejado de correr gritando con los brazos en alto, se preguntó, ¿y eso qué significa?
La explicación corta es que, usando este error de seguridad, cualquiera puede acceder a todo el sistema Android de nuestro dispositivo. La respuesta larga es algo mas complicada.
Empecemos con el dato de que todas las apps están firmadas con una llave criptográfica única. Cada desarrollador otorga a su app una llave diferente, que nunca, bajo ningún concepto, puede ser cambiada, ni siquiera cuando la app en cuestión es actualizada. Por tanto, es un identificador bastante bueno, que garantiza que lo que te estás instalando es, en efecto, lo que dice ser. Esto es cierto tanto con las apps que podemos instalar desde Google Play como con las que vienen instaladas en nuestro dispositivo, tales como las de configuración del sistema.
El bug de seguridad encontrado permite obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida. A partir de ahí, la app maliciosa tendrá los mismos permisos que la verdadera, y si estamos hablando de una aplicación del sistema, tendrá acceso a absolutamente todo lo que puede hacer nuestro dispositivo. Como vemos, no es un error pequeño, pero tiene sus condiciones.
Si solo instalamos aplicaciones desde Google Play, estamos relativamente seguros. Porque entonces el atacante tendría que tomar el control de la cuenta del desarrollador de esa app, algo posible pero fácilmente detectable y evitable. Por lo tanto, si queremos evitar este tipo de ataques en la medida de lo posible, solo debemos instalar aplicaciones y actualizaciones que provengan de Google Play. Además, podemos configurar nuestro dispositivo para que solo acepte apps y actualizaciones de la tienda oficial. Para ello, nos vamos a Ajustes, Seguridad, y desmarcamos la opción «Orígenes desconocidos».
Por supuesto, no es la solución definitiva, pero esta solo llegará cuando Google solucione el problema, algo que debería estar haciendo en estos mismos momentos ahora que el bug se ha hecho público. Una vez que aparezca la actualización del sistema, estaremos seguros hasta que aparezca otro error, tal es la naturaleza de la relación entre los hackers y los fabricantes.
Al final, este es un tipo de error de seguridad que se puede evitar siendo sensato y haciendo las cosas después de pensárselas dos veces. Hasta ahora no era seguro instalar aplicaciones de fuera de Google Play, y ahora eso sigue siendo cierto, nada ha cambiado. Hasta ahora debíamos tener cuidado de paquetes de sitios sospechosos que nos prometiesen grandes mejoras, y eso sigue siendo cierto. En definitiva, sigue exactamente las mismas medidas de seguridad que ya deberías seguir, y no te pasará nada. Probablemente.