Descubren nueva vulnerabilidad en Android

Check Point Software ha anunciado que sus investigadores han descubierto una nueva vulnerabilidad en el sistema operativo Android, el más utilizado en smartphones, que puede permitir un acceso completo al dispositivo que la sufra, por parte de un atacante.

Entre lo que permite esta vulnerabilidad, que los expertos de Check Point han bautizado como Man-in-the-Disk, está la instalación de aplicaciones de forma arbitraria, o el interferir con el funcionamiento de las aplicaciones legítimas, como ejecutando un ataque de denegación de servicio sobre ellas, o bien bloqueándolas.

Este problema, que se encuentra en la sandbox del sistema (el componente encargado de aislar las aplicaciones entre ellas para que no puedan interferir las unas con las otras, limitando así las acciones que efectúan los malwares) permite el uso libre del espacio de almacenamiento externo (la microSD) por parte de las aplicaciones, lo que habilita la instalación arbitraria de software y el acceso a los datos allí almacenados.

También abre las puertas a la monitorización de la actividad de las aplicaciones y a la inyección de código fuente para realizar acciones arbitrarias. Y todo ello con simplemente solicitar al usuario y obtener el permiso necesario para acceder al almacenamiento externo.

La mayoría de nosotros, como usuarios, no repasamos ni damos excesiva importancia a los permisos de acceso que las aplicaciones móviles nos solicitan en nuestro dispositivo tras su instalación. Desde estas líneas, recomendamos repasar siempre estas peticiones y otorgarlas solamente de si estamos seguros de lo que hacemos.

La investigación llevada a cabo por Check point demostró la capacidad de instalar una aplicación no deseada en segundo plano, sin el permiso del usuario.