Liberar Android Imprescindibles Accesorios Programación Redeslibre Para Principiantes Otros android Contacta con EAL
follow us in feedly

androidBug

Es la noticia del día y, probablemente, también lo vaya a ser de la semana, del mes y del año. Hay un fallo de seguridad muy grave implantado en todos los Android desde la versión 1.6. El informe, del equipo BlueBox, es bastante pesimista, por cuanto desvela que han conseguido la llave maestra para firmar las aplicaciones de Android. Una vez que todo el mundo ha dejado de correr gritando con los brazos en alto, se preguntó, ¿y eso qué significa?

La explicación corta es que, usando este error de seguridad, cualquiera puede acceder a todo el sistema Android de nuestro dispositivo. La respuesta larga es algo mas complicada.

android-fuentes-desconocidas-2Empecemos con el dato de que todas las apps están firmadas con una llave criptográfica única. Cada desarrollador otorga a su app una llave diferente, que nunca, bajo ningún concepto, puede ser cambiada, ni siquiera cuando la app en cuestión es actualizada. Por tanto, es un identificador bastante bueno, que garantiza que lo que te estás instalando es, en efecto, lo que dice ser. Esto es cierto tanto con las apps que podemos instalar desde Google Play como con las que vienen instaladas en nuestro dispositivo, tales como las de configuración del sistema.

El bug de seguridad encontrado permite obtener esa llave criptográfica de cualquier app. Así, un atacante puede modificar la app con código propio, y presentársela al usuario como una actualización normal y corriente porque el sistema Android verá que tiene la misma clave y por tanto, es válida. A partir de ahí, la app maliciosa tendrá los mismos permisos que la verdadera, y si estamos hablando de una aplicación del sistema, tendrá acceso a absolutamente todo lo que puede hacer nuestro dispositivo. Como vemos, no es un error pequeño, pero tiene sus condiciones.

Si solo instalamos aplicaciones desde Google Play, estamos relativamente seguros. Porque entonces el atacante tendría que tomar el control de la cuenta del desarrollador de esa app, algo posible pero fácilmente detectable y evitable. Por lo tanto, si queremos evitar este tipo de ataques en la medida de lo posible, solo debemos instalar aplicaciones y actualizaciones que provengan de Google Play. Además, podemos configurar nuestro dispositivo para que solo acepte apps y actualizaciones de la tienda oficial. Para ello, nos vamos a Ajustes, Seguridad, y desmarcamos la opción “Orígenes desconocidos”.

Por supuesto, no es la solución definitiva, pero esta solo llegará cuando Google solucione el problema, algo que debería estar haciendo en estos mismos momentos ahora que el bug se ha hecho público. Una vez que aparezca la actualización del sistema, estaremos seguros hasta que aparezca otro error, tal es la naturaleza de la relación entre los hackers y los fabricantes.

android-fuentes-desconocidas

Al final, este es un tipo de error de seguridad que se puede evitar siendo sensato y haciendo las cosas después de pensárselas dos veces. Hasta ahora no era seguro instalar aplicaciones de fuera de Google Play, y ahora eso sigue siendo cierto, nada ha cambiado. Hasta ahora debíamos tener cuidado de paquetes de sitios sospechosos que nos prometiesen grandes mejoras, y eso sigue siendo cierto. En definitiva, sigue exactamente las mismas medidas de seguridad que ya deberías seguir, y no te pasará nada. Probablemente.

  • turco

    la mejor opción para evitar esto, es comprándose un iPhone :)

    • zoki22

      Si un iphone q desde el menu d bloqueo se podia entrar a todos los contactos sin desbloquearlo

    • adrian

      Ir a esa mierda desfasada y horrible? No gracias, prefiero usar el sentido comun y no tener que volver a esa basura.

      Y en iphone es justamente igual, al momento que haces jailbreak te pueden destripar todos los datos.

    • marcos

      O dejando de molestar en un Blog sobre Android y llendote a trollear a otro lado.

    • asdfghjkl

      Un troll Ja ja ja ja

    • luis

      es verdad cada vez se párese mas a android, empieza a perder identidad pero en algo tienes razón es mas seguro

    • David

      Claro, iOS no tiene fallos de seguridad por eso a casi todas las versiones se les ha podido hacer ‘jailbreak’. Luego mucha gente le hace el ‘jailbreak’ y le instala el SSH sin cambiar la contraseña por defecto. Y que me dices de la posibilidad de ‘hackear’ un iPhone con un cargador modificado…
      No quiero defender a Android, pero comprar un iPhone tampoco es una buena solución en ese aspecto.

      • gnrsenpai

        cómo no va a ser más seguro iOS si ni siquiera te da la posibilidad de instalar aplicaciones que no vengan de la App Store, es un sistema privativo, en Android puedes fácilmente instalar una aplicación desde otros medios, el tema de la vulnerabilidad pasa más por el sentido común de quien baja instalables de páginas dudosas y las transfiere a su equipo, si carece de dicho sentido común opte por iPhone, si posee dicho sentido y valora la flexibilidad vaya por Android

        • Rafael

          Claro que se pueden instalar aplicaciones que no vengan de la app store y de formas tan simples que ni si quiera requieres ‘jailbreak’ del equipo, creo yo que “arrieros somos y en el camino andamos” como dicen en mi tierra.

          Yo no cambio Android por Iphone bajo ninguna circunstancia conocida hasta hoy, no hay equipo 100% seguro y mas aun cuando sabemos que estamos realizando determinadas acciones que vulneran mas al equipo en cuestión.

        • Pipo el Fontanero Feliz

          O que se instale un antivirus en el Android y a seguir roncando plácidamente

    • Steve

      No.

    • luiis martinez

      Jajaja si eres fanboy de los iPhones que haces publicando en foros de android….esto es clásico jaja

    • Deorum_Motu

      Turcooooo, vete a Applesfera con Miguel Michán. Troll y Fanboy,… no das más de tí.

  • Albert

    iphone…. menuda basura… haber cuando sacan un parche o actualización para ese fallo… :(

  • Crowley

    No alimenten al trol, ya comió.

  • hedgehog

    Siempre lo han podido hacer no es ninguna novedad… o creen que aplicaciones como facebook no lo hace

  • Pingback: Cómo funciona el último bug de seguridad de Android y cómo evitarlo - movilasia- Recopilación de los mejores enlaces de la red

  • Enric

    Realmente la información de este artículo es poco exacta.

    Primero: La llamada “llave para firmar aplicaciones”, el Keystore, no es único por desarrollador, sino único por aplicación, es decir, que un mismo desarrollador tendría diferentes “llaves”, una para cada app que publicara.

    Segundo: Pongamos que soy un hacker, dispuesto a sacar partido de esta vulnerabilidad. Lo que tendría que hacer, es modificar el keystore de mi “app virus” y por ejemplo, poner un APK en un servidor que pareciera, por ejemplo, una actualización para una aplicación existente en Google Play, intentando que una persona que la tenga instalada, instale esa actualización por error. Eso me parece una tontería, ya que normalmente cuando un usuario intenta instalar una app por fuera de la App Store, normalmente es una app pirata (o no), pero no creo que por lo general se busque una actualización de una app existente en el teléfono.

    Conclusión: Aunque estoy de acuerdo que el agujero de seguridad es MUY GRAVE, creo que configurar el dispositivo para aceptar solo apps de la App Store, reduce muchos de los beneficios de utilizar Android sobre iOS, ya que para hacer lo mismo en iOS debes tener tu dispositivo con Jailbreak, mientras que con Android, simplemente se trata de desmarcar una casilla.

    Igualmente, gracias por el aviso!

    • Aznar

      Yo también prefiero android pero no soy tan cínico como tú chico.

    • FerYho

      Google Play quería decir?

    • https://plus.google.com/114806790998812955322/ Adrian Raya

      Creo que el primer punto queda reflejado en el artículo, en el tercer párrafo:
      “Empecemos con el dato de que todas las apps están firmadas con una llave criptográfica única. Cada desarrollador otorga a su app una llave diferente”

      Segundo, hay que tener en cuenta que la mayoría de los usuarios se instalan lo primero que les dicen. Si ahora saliese un hacker diciendo “con esta actualización de Whatsapp podéis ver los mensajes de vuestros amigos”, habría mucha gente que la descargaría.

      Por eso, para gente como la que sigue habitualmente esta web no es un problema, sabemos qué tenemos que hacer, pero para el usuario medio no está tan claro.

      Gracias por comentar.

    • Carlos

      PlayStore no AppStore

  • jaja

    Osea, que lo mejor es usar un móvil Android como si fuera un iPhone xD

    Bromas a parte, desde Google Play se pueden instalar muchas aplicaciones, pero si quieres cambiar de ROM tienes que recurrir a fuera de esa Store, y muchas veces vienen con aplicaciones de terceros. Y ya que te has puesto a instalar una nueva ROM, pues te pones a probar esta y la otra aplicación que… Vaya, que ahora nos dicen que es mejor no instalar, no probar nada de lo que hay fuera de Google Play, y que es mejor pasar por caja (me huele a copiar la táctica de la manzana podrida). ¿Casualidad que no se haya descubierto en cuatro años, y que lleve seis meses sin parchearse? No lo creo.

    • Land-of-Mordor

      Instala firmwares que te vengan sólo con el sistema, no con apps añadidas (algunas veces de pago) para hacerlas más molonas. Una vez más, sensatez

  • Aznar

    La culpa es de zapatero.

  • joseph

    La noticia es importante pero aquien afecta basicamente esto afecta a persona q trabajan con tarjetas de credito o informacion valiosa
    Creo q si no tienes ninguna de las dos en tu tel no tienes nad q perder
    Nadie se va a interesar x las contraseñas de una persona normal jajaja

    • Pipo el Fontanero Feliz

      Eso depende: ¿usas google wallet? ¿Paypal?…

      y el problema más grave e inmediato: te puedes instalar un troyano que envíe SMS o llame a servicios de tarificación adicional (esos que cuestan varias veces más lo que cuesta una llamada/SMS normal) para que alguien se lucre.

  • JUEPUTA

    Me la suda, me la suda totalmente..!
    Yo continuo con mi Nokia 5190 y le doy duro
    al juego de la viboritassss mientras las jackers
    me chupan un huevo intentando robar mi Hirewell

  • Becktor

    ¿Pudiera ser información falsa como estrategia de Google para combatir las instalaciones ilegales?

    • elruben

      Tiene toda la pinta.
      Esta noticia sólo le falta un pie de página que diga “enlace patrocinado por google, tu buscador amigo”.

  • Pingback: Cómo funciona el último bug de seguridad de Android y cómo evitarlo | Rock N Droid

  • Alvaro Uribe

    No se crean esta MENTIRA!!! Viva el Android Libre, Viva el Internet Libre!

  • Alvaro Uribe

    Que Gran MENTIRA!!! Viva el Android Libre. Viva el Internet Libre!

  • Nachobcn

    Y porque nadie ha dado la noticia de los jailbreaks del iPhone como problemas de seguridad?

    Porque el mismo problema en Android es una “vulnerabilidad” y en iPhone es una “bendición”?

  • oinch oinch

    Aqui por lo menos se intenta informar, lean y rian en computerhoy punto com:
    “ROBAN DATOS, AFECTADOS EL 99% DE LOS DISPOSITIVOS ANDROID” asi se las gasta el titular.

  • Alfa

    ¡Nicolás, tenías razón!
    Al final, si tenemos que usar Android cerrado para que sea seguro… llegamos a IOS.
    Yo cuando instalo alguna Rom cocinada, me pregunto a veces que coño estoy instalando y que garantías tengo de que el desarrollador no me la esté metiendo sin untar, y si es así donde coño voy a reclamar. Cada vez estoy más convencido de pillar un Iphone porque es objetivo que dan ciertas garantías y un mínimo control. Tengo un One S y estoy supercontento de que HTC me vaya a dar por culo con 4.2.2, Google pasa de Android: como es libre ¿verdad? que nos busquemos la vida o nos cambiemos de sistema.
    Y ahora que no frian los talidroids que yo soy uno de ellos pero estoy hasta los huevos de serlo pa” na”.

  • Hits

    Volviendo al tema del hilo y pasandome el iphone por el arco del triunfo en mi comentario ( ya que no procede, pues no es el tema del articulo) y para matizar un punto en el que se habla de los “oscuros y malvados” hackers ( ¬¬ )quiero aclarar que en realidad la cosa de los bug de seguridad funciona aproximadamente así:

    1- Se detecta el fallo de seguridad
    2- Si el bug es gordo suele ser vendido y explotado durante bastante tiempo sin que nadie lo sepa con un pero, el pero es, si el que descubre el bug tiene algo de ética, lo que hace es avisar (en este caso google) y venderle o no la información a cambio de no publicar el error, eso quiero recalcar que es lo que hacen los hackers, avisan al desarrollador/fabricante responsable del software para que lo solucione,. EL CRACKER (si si, el cracker) estaría aprovechandose del error mucho mas tiempo, intentaría venderlo por una muy sustanciosa suma de dinero dependiendo del alcance del bug a las mafias y en el mercado negro o simplemente lo usaría para sacar mucho mas dinero explotando el fallo y accediendo a los sistemas, pero esto lo hacen los crackers, no los hackers.

    3- Normalmente la empresa compra la información en base a un sistema de recompensas para este tipo de fallos, pero otras veces hace oidos sordos o se hace el remolón y no compra, con lo que pasado un margen de tiempo para que lo solucionen se les vuelve a avisar si el error sigue ahi sin haber sido solucionado.

    4- Si no lo sulucionan ( como en este caso) se publica el error para hacer presión ( a google en este caso) para que lo solucione y lo arregle de una vez, ya que puesta la información a disposición del publico es altamente probable que con la presion mediatica sea solucionado rápidamente, pero esto lo haría un hacker , un cracker o un black hat estaría esplotando y sacando dinero del bug por todas las vias posibles, hasta que un auditor de seguridad o hacker ético descubriera el error y entonces volveriamos al punto 1 con la salvedad de que el hacker hará lo que tiene que hacer, que es avisar del error y ponerle en la medida de lo posible solución cuanto antes.

    Al Hacker le interesa como funciona, como trabaja, que procesos implica, cual es el alcance del fallo, como explotarlo y finalmente como contrarestarlo.
    Al cracker le interesa sacar pasta exclusivamente.
    Hay una sutil diferencia, así pues por favor para próximos articulos evitemos catalogar a los malos con un término que no les define y que perjudica bastante a la comunidad de seguridad informática, auditores, analistas y en definitiva hackers, que no son los malos.

    Solo espero que el bug sea parcheado lo antes posible.

    Saludos

  • r_daniel

    ya salio un parche para ics para solucionar este bug en XDA con el Xposed framework

    [FIX][XPOSED][4.0+] Universal patch for “Master Key” + “Bug 9695860″ vulnerabilities

    http://forum.xda-developers.com/showthread.php?t=2365294

  • Juliens

    Que te den :)

  • Nico

    Hola, soy un sudaca perverso. BUUUUUUUUUUUUUU!

  • Mother of orthography

    NOOOOOOOOOOOO!!!!!!!!!!!!!!! ME SANGRAN LOS OJOS!!!!!!!!!!!!!!!!!!!!!!

  • Ted

    MATENLO ANTES DE QUE DEJE CRÍAS

  • Luis

    Jajajajajajajajaja.Me mató este tipo.Jajajajajajajaja.

  • HéctorMx

    No entendieron el chiste!
    Es solo una broma, se ve claramente! :D

  • Alejandro

    ¿Porque tantos negativos? Me meé de la risa jajajajajajajajajajaja