Google no parcheará una vulnerabilidad crítica antes del lanzamiento de Android O

Share this…

Millones de dispositivos Android corren un serio riesgo debido a una vulnerabilidad de “secuestro de pantalla” que permite a los hackers robar contraseñas, datos bancarios e incluso sirve de apoyo para aplicaciones de ransomware.

Pero lo peor no es la presencia de la vulnerabilidad, sino que Google ha anunciado que no la parcheará hasta el lanzamiento de Android O, la futura versión del sistema operativo que tendría que suceder al actual Nougat y que vería la luz en el tercer trimestre de 2017. La situación se pone aún peor de cara a los usuarios, ya que muchos fabricantes podrían no suministrar el correspondiente parche para Nougat hasta el año que viene.

Según los investigadores en seguridad de CheckPoint, quienes han descubierto este fallo, el origen del problema está en un permiso llamado SYSTEM_ALERT_WINDOW, que permite a las aplicaciones sobreponer ventanas en la pantalla del dispositivo, quedando por encima de todas las aplicaciones. Dicha característica es la empleada por Facebook Messenger para poner elementos flotantes en la pantalla cuando alguien envía algún tipo de mensaje.

Desde el lanzamiento de Android Marshmallow en 2015, Google actualizó su política para conceder por defecto este permiso extremadamente sensible a todas las aplicaciones que son instaladas directamente desde la Play Store. Sin embargo, la característica permite a las aplicaciones maliciosas secuestrar la pantalla de un dispositivo, pudiendo desplegar contenidos relacionados con un malware o bien realizar ataques de phishing.

CheckPoint ha averiguado que el 74 por ciento del ransomware, el 57 por ciento del adware y el 14 por ciento del malware bancario abusó del permiso SYSTEM_ALERT_WINDOW como parte de su operación, por lo que se puede concluir que a día de hoy su abuso está muy extendido por parte de hackers y cibercrminales.

Google ha estado usando Bouncer para detectar aplicaciones maliciosas y evitar que acabasen en la Play Store. Sin embargo, parece que no está siendo suficiente para tener controlado todo el malware, debido a que más de uno que ha conseguido colarse en la tienda oficial de Google para Android. Algunos posiblemente recuerden a BankBot, que es un ejemplo paradigmático de abuso de SYSTEM_ALERT_WINDOW que encima consiguió colarse en la PlayStore.

Con el fin de corregir este problema, a partir de Android O se incorporará el permiso TYPE_APPLICATION_OVERLAY, que evitará que las ventanas se posicionen encima de cualquier ventana crítica del sistema, permitiendo a los usuarios acceder a los Ajustes y bloquear la aplicación para que no muestre más ventanas de alerta.

Como medida de precaución, se recomienda usar solo aplicaciones oficiales de marcas conocidas y confiables.

Fuente:https://muyseguridad.net/2017/05/11/google-no-parchear-android-o/