La vulnerabilidad ‘Master Key’ de Android sigue explotándose
Master Key, que explota una vulnerabilidad en el proceso de verificación de código de las aplicaciones Android, está llamando la atención de los ciberdelincuentes.
La empresa de seguridad Sophos ha detectado nuevas muestras de malware para Android que están explotando una vulnerabilidad conocida como ‘Master Key’, diferentes a las detectadas por Symantec hace unas semanas.
Paul Ducklin, investigador de SophosLabs, escribe en un post que la vulnerabilidad no se está explotando de forma masiva y que por el momento sólo parece estar llamando la atención de los ciberdelincuentes. Asegura también que la manera en que funciona es “molestamente simple”.
Esta vulnerabilidad permite que un atacante inyecte código malicioso en aplicaciones Android sin invalidar la firma digital. Según explica Ducklin, no se rompen las claves criptográficas, pero permite que los hackers creen una llave maestra para desbloquear el acceso a un dispositivo e instalar malware haciéndose pasar por otro software legítimo.
En el blog el investigador de Sophos explica que las aplicaciones de Android se entregan en un formato ZIP con la extensión APK (Android Package), cuyos archivos tienen un subdirectorio específico que contiene una lista de sumas de comprobación para el resto del archivo; antes de la instalación los archivos del APK son extraídos y comparados con la lista y si hay un error, se rechaza la instalación.
Pero la vulnerabilidad permite colocar dos archivos con el mismo nombre en la APK –algo que no es fácil de hacer, de forma que Android verifica la primera, pero instala y utiliza la segunda. De esta forma pueden manipularse las aplicaciones como si se tuviera una llave maestra.
Las nuevas muestras detectadas tienen archivos ejecutables que recogen datos sobre aplicaciones instaladas, mensajes de texto o la identidad internacional del abonado móvil (IMSI) de la SIM. Además, se conecta a un servidor y está preparado para enviar SMS a una lista de números en China.
Aunque si funcionamiento es simple, Paul Ducklin asegura también que el añadir elementos a una aplicación es sumamente complejo y que de hecho se han detectado muestras que no funcionan.
El experto asegura que el fallo se corrige a nivel de código fuente de Android y que es crítico que los fabricantes ofrezcan la actualización a sus usuarios. Por el momento lo que los usuarios pueden hacer para reducir el riesgo de infección es obtener sus aplicaciones desde Google Play, la tienda de aplicaciones de Apple para su sistema operativo.