Forbes Argentina
google
Innovacion

La aplicación de Google para Android: una puerta de entrada para el hackeo

Thomas Brewster

Share

Con más de 5 mil millones de descargas, fue parcheada después de que un investigador descubrió que era vulnerable a un ataque que podría haber permitido a los piratas informáticos obtener datos confidenciales de los teléfonos de los usuarios,

18 Junio de 2021 09.36

La aplicación de Google para Android, con más de 5 mil millones de descargas, fue parcheada después de que un investigador descubrió que era vulnerable a un ataque que podría haber permitido a los piratas informáticos obtener datos confidenciales de los teléfonos de los usuarios, desde mensajes de Gmail hasta el historial de búsqueda. Los usuarios deben asegurarse de que están ejecutando la última versión de la aplicación para evitar ser afectados por cualquier ataque del mundo real

Aprovechar las debilidades para robar información del teléfono o tableta de un usuario también requeriría que se instalara otra aplicación maliciosa en el dispositivo. Existe una gran cantidad de malware de ese tipo y está dirigido al sistema operativo de teléfonos inteligentes de Google. 

Las vulnerabilidades en la aplicación de Android, descubiertas por primera vez por Sergey Toshin, el fundador de la startup de seguridad para teléfonos inteligentes Oversecured, con sede en Moscú, residen en la forma en que carga el código de otras partes del sistema operativo. 

El software de Android a menudo usa código de diferentes aplicaciones o archivos en el sistema operativo para iniciar ciertas funciones. Si un pirata informático puede envenenar ese proceso, como hizo Toshin en su truco de prueba, puede engañar a una aplicación para que capture código malicioso, lo que potencialmente puede robar datos o abusar de los procesos de la herramienta. 
 

googleapps


Para hacer esto con el software de Google Android, Toshin combinó tres vulnerabilidades diferentes "para un impacto máximo".

Cuando se explotaron juntos, fue posible agregar un nuevo código malicioso a la biblioteca Google Play Core, que estaba siendo utilizada por la aplicación de Android de Google. Cuando la aplicación accedió a ese malware, podría comenzar a capturar datos o secuestrar sus funciones. "Se convertirá en parte de la aplicación con acceso a todos los recursos y funciones", dijo Toshin.

“La aplicación del atacante necesitaba iniciarse solo una vez para que este ataque tuviera éxito. Después de eso, incluso si se eliminara la aplicación, la funcionalidad maliciosa seguiría estando presente en la aplicación de Google de forma independiente ”, escribió el investigador de 24 años en un informe entregado a Forbes antes de su publicación. 



Cualquier ataque a la propia aplicación de Google sería particularmente potente, dado el acceso que tiene a gran parte de los datos en un teléfono inteligente. Eso incluye el historial de búsqueda de un usuario y todo lo que buscó con el asistente de voz. La aplicación también tiene permiso para interceptar los derechos de la aplicación, lo que significa que un pirata informático que explote las vulnerabilidades podría leer y enviar mensajes de texto, acceder a los contactos y al historial de llamadas, hacer y recibir llamadas, encender el micrófono o la cámara y capturar la ubicación del usuario. Todo esto sucedería en silencio, sin el consentimiento o aviso del usuario. 

Tales debilidades no son infrecuentes y se han visto antes en aplicaciones de las principales empresas tecnológicas. Toshin, por ejemplo, encontró un problema similar en la aplicación de Android de TikTok .

Toshin dijo que Oversecured informó a Google en febrero y fue recompensado por el gigante tecnológico con una recompensa por errores de US$ 5,000. 

Google dijo que el problema se solucionó en mayo. Si los usuarios tienen activadas las actualizaciones automáticas, no deberían tener que hacer nada. 

Para otros, deberán actualizar manualmente la aplicación. “Creamos nuestro Programa de Recompensas por Vulnerabilidad específicamente para identificar y corregir vulnerabilidades como esta. Agradecemos a Oversecured y la participación de la comunidad de seguridad en general en estos programas. Implementamos una solución para nuestros usuarios hace más de un mes y no hemos visto ninguna evidencia de explotación ".

  • Con información de Forbes US.

10