El mundillo de la seguridad informática, y especialmente aquellos que se dedican a la seguridad en dispositivos móviles, andamos un poco revolucionados desde que hace un par de días un investigador de Bluebox anunciara en el blog de esta empresa el descubrimiento de una grave vulnerabilidad que afectaría a la mayoría de dispositivos Android actuales.
Al parecer, este investigador habría descubierto una manera de modificar el código de las aplicaciones de Android (de extensión APK) sin romper la firma criptográfica de esa aplicación. ¿Eso qué significa? Pues que se puede troyanizar cualquier instalador de una aplicación legítima para hacer todo tipo de maldades. De esta forma, los ciberdelincuentes se saltarían a la torera todos los procesos de verificación al instalar aplicaciones en Android y podrían controlar totalmente un dispositivo infectado. Las acciones maliciosas que se podrían realizar de este modo van desde robar toda la información que contiene el dispositivo o las contraseñas de los sitios a los que se accede desde él, hasta integrar ese mismo dispositivo en una botnet.
Este fallo afecta a millones de dispositivos Android con versiones del sistema 1.6 y posteriores (casi cualquier dispositivo Android con menos de 4 años) estando Google informado al respecto desde febrero de este mismo año. El problema es que aunque Google y los fabricantes de dispositivos empiecen a sacar actualizaciones ya mismo, seguro que quedan vulnerables millones de dispositivos más antiguos que las compañías no consideran importante actualizar porque ya han dejado de prestarles soporte.
Así las cosas, si se comprueba que toda esta información es cierta en la charla de la BlackHat donde se van a dar los detalles técnicos de esta vulnerabilidad, la única manera de asegurarse (al menos hasta cierto punto) de que una aplicación aparentemente legítima y con una firma criptográfica perfectamente válida no está troyanizada, es descargándola únicamente de fuentes confiables definidas por el desarrollador de esa aplicación.