Apps de Android instaladas en 4.000 millones de dispositivos permiten hackear el móvil
Investigadores de Microsoft han descubierto una vulnerabilidad que permitiría que las apps se ‘roben’ datos entre ellas.
3 mayo, 2024 19:36El sistema operativo perfectamente seguro no existe; es sólo una cuestión de la gravedad de los problemas que tiene y cómo sus desarrolladores reaccionan a ellos. Android ha mejorado mucho la seguridad en las últimas versiones, pero ahora, Microsoft advierte que eso no es suficiente y que Google tiene que hacer algo al respecto.
El descubrimiento publicado por los investigadores de Microsoft revela un nuevo tipo de ataque, llamado “Dirty Stream”, que podría ser usado por apps maliciosas para modificar las que tenemos instaladas en el móvil sin nuestro permiso; y una vez que consiguen eso, todo es posible: podrían convertir las apps en ‘virus’ o robar sus datos.
La peor noticia es que, según los cálculos de Microsoft, las apps vulnerables a este ataque se cuentan por los miles de millones; y entre ellas, se encuentra la app de archivos de Xiaomi, que viene preinstalada en todos sus móviles y los de Redmi y POCO.
Así podrían atacar nuestro móvil
“Dirty Stream” es un ataque que, irónicamente, se aprovecha de la manera en la que Android evita que se pueda acceder a información privada en las apps. Todas las apps que se ejecutan en nuestro móvil lo hacen de manera aislada, con su propio ‘espacio’ en memoria para evitar que otras apps puedan, por ejemplo, leer información de nuestra cuenta bancaria o las contraseñas de nuestras cuentas.
El problema ocurre cuando las apps usan este sistema de manera incorrecta, algo que aparentemente es más común de lo que debería. Si los desarrolladores cometen errores en la implementación de este ‘espacio seguro’, en realidad están abriendo la puerta a que una app maliciosa pueda engañarlas enviándoles lo que parece un archivo, pero que en realidad es ejecución de código. Ese código puede tomar el control, ya sea instalando otras apps o robando los datos de la app infectada y enviándolos por Internet a un servidor controlado por el atacante.
Los investigadores han descubierto que esta implementación incorrecta es muy común, y que muchas apps disponibles en la Google Play Store caen en este error. Eso incluye la app de archivos de Xiaomi como ya hemos comentado, además de la app WPS Office, una de las alternativas más populares a Microsoft Office y a Google Docs.
Al menos, tanto Xiaomi como WPS respondieron a los investigadores de Microsoft y ya han solucionado el problema en sus apps; sin embargo, aún queda un número sin determinar de apps que siguen sufriéndolo. Por eso, Google ya ha modificado la documentación de Android, para que los desarrolladores lo tengan en cuenta.