Dando sentido al último susto de seguridad de 'llave maestra' de Android

Sin giros, sin tonterías, solo una charla clara y simple sobre lo que está sucediendo esta vez

Se necesita algo de conversación real sobre esta hazaña que descubrió el equipo de seguridad de Bluebox. Lo primero que debes saber es que probablemente estés afectado. Es un exploit que funciona en todos los dispositivos que no han sido parcheados desde Android 1.6. Si ha rooteado y ROM de su teléfono, puede ignorar todo esto libremente. Nada de esto cuenta para usted, porque hay un conjunto completamente diferente de problemas de seguridad que viene con las ROM raíz y personalizadas por las que debe preocuparse.

Si no tiene marcada la casilla de permiso infame "Fuentes desconocidas" en su configuración, esto no significa nada para usted. Continúa y siéntete libre de ser un poco petulante y justiciero: te lo mereces por evitar todo el tiempo en caso de que algo así pueda suceder. Si no sabe lo que esto significa, pregúntele a alguien.

Para el resto de nosotros, lea más allá del descanso.

Más: Servicio de noticias IDG.

¿Qué es?

Todas las aplicaciones en tu Android están firmadas con una clave criptográfica. Cuando llegue el momento de actualizar esa aplicación, la nueva versión debe tener la misma firma digital que la anterior o no se sobrescribirá. No puedes actualizarlo, en otras palabras. No hay excepciones, y los desarrolladores que pierden su clave de firma deben crear una nueva aplicación que tenemos que descargar nuevamente. Eso significa comenzar desde cero. Todas las nuevas descargas, todas las nuevas reseñas y calificaciones. No es un asunto trivial.

Las aplicaciones del sistema, las que vienen instaladas en su teléfono desde HTC, Samsung o Google, también tienen una clave. Estas aplicaciones a menudo tienen acceso completo de administrador a todo en su teléfono, porque son aplicaciones confiables del fabricante. Pero todavía son solo aplicaciones.

¿Aún me sigues?

De lo que estamos hablando ahora, de lo que habla Bluebox, es de un método para abrir una aplicación de Android y cambiar el código sin alterar la clave criptográfica. Animamos cuando los piratas informáticos se mueven por los cargadores de arranque bloqueados, y este es el mismo tipo de explotación. Cuando bloqueas algo, otros encontrarán una forma de entrar si se esfuerzan lo suficiente. Y cuando su plataforma es la más popular del planeta, la gente se esfuerza mucho.

Entonces, alguien puede tomar una aplicación del sistema desde un teléfono. Solo sácalo. Usando este exploit, pueden editarlo para hacer cosas desagradables: darle un nuevo número de versión y volver a empacarlo manteniendo la misma clave de firma válida. Luego, podría instalar esta aplicación directamente sobre su copia existente, y ahora tiene una aplicación diseñada para hacer cosas malas y tiene acceso completo a todo su sistema. Todo el tiempo, la aplicación se verá y se comportará normalmente: nunca sabrás que está pasando algo sospechoso.

Yikes

¿Qué se está haciendo al respecto?

La gente de Bluebox le contó a toda la Open Handset Alliance sobre esto en febrero. Google y los OEM son responsables de parchear las cosas para evitarlo. Samsung hizo su parte con el Galaxy S4, pero todos los demás teléfonos que venden son vulnerables. HTC y el One no hicieron el corte, por lo que todos los teléfonos de HTC son vulnerables. De hecho, todos los teléfonos, excepto la versión Samsung Touchwiz Galaxy S4, son vulnerables.

Google aún no ha actualizado Android para solucionar este problema. Me imagino que están trabajando duro en eso: vea los problemas por los que Chainfire ha pasado rooteando Android 4.3. Pero Google no se quedó de brazos cruzados y tampoco lo ignoró. La tienda Google Play se ha "parcheado" para que no se puedan cargar aplicaciones manipuladas en los servidores de Google. Eso significa que cualquier aplicación que descargue de Google Play esté limpia, al menos en lo que respecta a esta vulnerabilidad en particular. Pero lugares como Amazon, Slide Me y, por supuesto, todos los foros APK agrietados que existen están abiertos y todas las aplicaciones podrían tener un mal JuJu dentro.

Entonces, ¿esto es realmente un gran problema?

Sí, es un gran problema. Y al mismo tiempo, no, realmente no lo es.

Google parcheará la forma en que Android actualiza las aplicaciones o la forma en que se firman. En este juego de gato y ratón, esto es algo normal. Google lanza software, los hackers (tanto los buenos como los malos) intentan explotarlo, y cuando lo hacen, Google cambia el código. Así es como funciona el software, y se debe esperar este tipo de cosas cuando hay suficientes personas inteligentes que intentan entrar.

Por otro lado, es posible que el teléfono que tiene ahora nunca vea una actualización para solucionarlo. Demonios, Samsung tardó casi un año en parchear el navegador contra un exploit que podría borrar todos sus datos de usuario en solo algunos de sus teléfonos. Si tiene un teléfono que espera actualizar a Android 4.3, probablemente recibirá un parche. Si no, es una incógnita. Eso es malo, muy malo. No estoy tratando de criticar a las personas que fabrican nuestros teléfonos, pero la verdad es la verdad.

¿Que puedo hacer?

• No descargue ninguna aplicación fuera de Google Play.
• No descargue ninguna aplicación fuera de Google Play.
• No descargue ninguna aplicación fuera de Google Play.
• De hecho, continúe y desactive el permiso Fuentes Desconocidas si lo desea. Yo si. Cualquier otra cosa te deja vulnerable. Algunas aplicaciones "antivirus" comprobarán si tiene habilitadas fuentes desconocidas si no está seguro. Ingrese a los foros y descubra cuál es el mejor para todos si lo necesita.
• Exprese su disgusto por no recibir actualizaciones de seguridad esenciales para su teléfono. Especialmente si todavía tienes ese contrato de dos años (¡o tres años, hola Canadá!).
• Rootee su teléfono e instale una ROM que tenga algún tipo de solución: las más populares probablemente se activarán muy pronto.

Así que no entres en pánico. Pero sea proactivo y use algo de sentido común. Ahora es un muy buen momento para dejar de instalar aplicaciones descifradas, porque las personas que realizan el descifrado son el mismo tipo de personas que podrían poner código malvado en la aplicación. Si recibe avisos de actualización que provienen de un lugar que no sea Google Play, infórmeselo a alguien. Dinos si lo necesitas. Averigua a las personas que intentan transmitir estas hazañas y dales una gran dosis de vergüenza y exposición pública. Las cucarachas odian la luz.

Esto pasará como lo hacen siempre los sustos de seguridad, pero otro intervendrá para llenar sus zapatos. Esa es la naturaleza de la bestia. Manténgase a salvo chicos.