Un bug deja a 1,4 millones de usuarios de Android en riesgo de seguridad

Hexamob | Alberto Mulas 08/16/2016

Un nuevo bug ha sido descubierto en el día de hoy por el equipo de seguridad Lookout y afecta a un gran porción de usuarios de Android en el mundo. Es un error relacionado con kernel linux 3.6 y que también está presente en Android desde la versión 4.4 KitKat y posteriores (sí, incluso en la versión beta de Android Nougat).

Este bug podría afectar a alrededor del 80% de todos los usuarios de Android (1,4 mil millones de dispositivos de acuerdo con Statesman) y lo más probable es que eso incluye a muchos de los que nos estén leyendo ahora. Este es el bug CVE-2.016-5.696 y permite a un atacante colarse en una conexión no cifrada y ejecutar código malicioso. Esta sería una solución para protegerse de este error de una manera drástica: usar una VPN o conectarse sólo a los servicios y los sitios web que utilizan conexiones cifradas.

Una vez que interceptan una conexión sin cifrar con cualquier servicio de Internet, pueden por ejemplo abrir un mensaje falso que requiera de un nuevo acceso a un servicio genérico (correo electrónico, redes sociales, PayPal, etc.). Lo mismo se podría hacer en el navegador o a través de un cliente de correo. Si la conexión no está encriptada, el atacante puede hasta acabar con la conexión. Google respondió a una petición de comentarios para aclarar que el error no es sólo de Android (y Linux en general) y que los ingenieros están trabajando para solucionarlo, pero que la cuestión no tiene la máxima prioridad.

Un bug deja a 1,4 millones de usuarios de Android en riesgo de seguridad 1

Esta elección se debe probablemente al hecho de que es difícil que el error pueda ser explotado a gran escala. De hecho, se tarda unos 10 segundos en probar si dos clientes están conectados y cerca de otros 45 segundos para enviar el código malicioso en el tráfico inicial. Esto significa que, por consiguiente, debes conocer (o predecir) la existencia de una conexión concreta y el tiempo necesario para ejecutarla, y puede que sea un ataque que sólo afectaría a los usuarios con “perfiles sensibles” (políticos, parte del gobierno, militares, etc.) y que estarían en peligro de manera más concreta.

Considerando que existen smartphones que no reciben soporte de ningún tipo desde hace años, existen algunas reservas acerca de soluciones para usuarios específicos, y nos gustaría recordar que aquellos que quieren robar nuestros datos tienen mucho tiempo libre. Así que tened siempre un ojo en los sitios web que visitéis y en los mensajes sospechosos, al menos hasta recibir uno de los futuros parches mensual publicados por Google al respecto (una pena que el 90% de ese 80% de los dispositivos de destino no se actualizarán).

Un bug deja a 1,4 millones de usuarios de Android en riesgo de seguridad