Durante cinco años una vulnerabilidad de Android permitió espiar cuentas de millones de usuarios

Android maneja más de 2.000 millones de usuarios un error de vulnerabilidad en su sistema podría haber dejado expuestos datos personales a merced de hackers, es lo que descubrió Sergey Toshin en diciembre pasado.

El error de "alta severidad" no se detectó durante más de cinco años, pudo permitir a los atacantes espiar a un usuario y obtener acceso a sus cuentas, lo que sirve como muestra de que un código abierto de Android también crea desafíos para defender un sistema masivo.

Según Sergey Toshin, un investigador de seguridad móvil en la firma de detección de amenazas Positive Technologies, el error se originó en Chromium, el proyecto de código abierto que subyace a Chrome y muchos otros navegadores. Como resultado, un atacante podría apuntar no solo a Chrome para dispositivos móviles, sino a otros navegadores populares basados en Chromium.

Aún más específicamente, Chromium potencia un Android tiene una característica llamada WebView, que funciona detrás de la escena cuando haces click en un enlace en un juego o una red social; es lo que permite que esas páginas se carguen en una especie de mini navegador sin tener que abandonar la aplicación. Al usar la vulnerabilidad de Chromium, los piratas informáticos pueden usar WebView para capturar los datos de los usuarios y obtener un acceso amplio al dispositivo.

"Un atacante podría lanzar una incursión a cualquier navegador móvil basado en Chromium en un dispositivo Android, incluido Google Chrome, Samsung Internet Browser y Yandex Browser, y recuperar datos de su WebView", explicó Toshin en una entrevista para Wired.

Para empeorar las cosas, el error ha estado presente en todas las versiones de Android desde el KitKat 4.4 de 2013, la primera versión de Android que podía escuchar "Ok Google" y la primera en incluir emojis en el teclado de Google.

Casi imposible detectarlo

Un atacante obtendría el acceso más confiable y duradero al dispositivo de una víctima engañándolos para que instalen una aplicación maliciosa que incorpora WebView y explota el error. Pero Toshin señala que los atacantes también podrían usar el error para obtener acceso inadecuado al dispositivo invitando a los usuarios para que hagan click en un enlace malicioso que luego se abriría a través de la función de aplicación instantánea de Android.

Este componente permite a los usuarios ejecutar una versión de una aplicación inmediatamente sin instalarla realmente. En ese escenario, un atacante no tendría acceso permanente y persistente, pero tendría un período limitado de tiempo para comenzar a capturar los datos de un usuario o información sobre sus cuentas móviles. De cualquier manera, los métodos son compromisos tranquilos y discretos.

Versión actual de Chrome ya eliminó la vulnerabilidad

Positive Technologies reveló el error a Google en enero de este año, y la compañía lo parchó como parte de Chrome 7.2 a fines de ese mes. Los dispositivos que ejecutan Android 7 o posterior deben poder obtener la actualización a través de las actualizaciones generales de Chrome, pero los dispositivos que ejecuten versiones de Android 5 y 6 deberán instalar una actualización especial para WebView a través de Google Play.

Eso es útil para los propietarios de Android con actualizaciones automáticas activadas como antiguas, pero de lo contrario tendrían que instalarlas ellas mismas.

Tanto Toshin como Google también dijeron que los dispositivos construidos en Android, que no incluyen Google Play, como Amazon Kindles, necesitarán que los fabricantes de sus dispositivos emitan un parche especial. Aquí es donde la población fragmentada de Android en particular tiene problemas al obtener arreglos para los dispositivos que los necesitan.

Google también señaló que no lanzó un parche para Android 4.4, ya que el sistema operativo tiene más de cinco años y solo se está ejecutando en lo que la empresa caracteriza como un pequeño porcentaje de dispositivos. Pero de acuerdo con los números propios de Google, el 7.6 por ciento de los dispositivos Android todavía se ejecutan en KitKat. Basado en una base de instalación de 2.000 millones, eso es alrededor de 152 millones. También es más que la versión actual de Android, Oreo 8.1, que tiene una adopción del 7,5 por ciento.

Aplicaciones podrían estar espiándote desde tu teléfono celular

Unas 17 mil aplicaciones de Android estarían registrando la actividad de los usuarios y creando un historial permanente con esa información con fines publicitarios, lo cual va en contra de las prácticas recomendadas por Google.

A esa conclusión llegó una investigación publicada por Serge Egelman, director de investigación en el grupo de Privacidad y Seguridad del Instituto Internacional de Ciencias de la Computación.

Las aplicaciones en cuestión vinculan el ID de publicidad (un marcador basado en el software del celular y que se puede eliminar de manera similar a las cookies en el navegador) con marcadores específicos del hardware.

Esto hace que las apps mantengan un registro de seguimiento permanente del celular.