Los teléfonos Samsung y LG son vulnerables debido a la filtración de certificados, según Google

La Iniciativa de vulnerabilidad de socios de Android de Google, en una importante admisión de fuga de seguridad, reveló una nueva vulnerabilidad clave que afecta a los teléfonos inteligentes Android de las principales marcas como Samsung y LG, entre otras. Debido a la pérdida de las claves de firma utilizadas por los OEM de Android, las aplicaciones impostoras o el malware podrían hacerse pasar por aplicaciones “confiables”. El problema se informó anteriormente en mayo de este año, luego de lo cual varias compañías, incluida Samsung, tomaron medidas para controlar la vulnerabilidad.

La falla de seguridad fue sacada a la luz por el empleado de Google Łukasz Siewierski (mediante Mishaal Rahman de Esper). Sirwierski, a través de sus tweets, reveló cómo se usaban los certificados de plataforma para firmar aplicaciones de malware en Android.

El núcleo del problema es una vulnerabilidad en el mecanismo de confianza de claves de la plataforma Android que podría ser aprovechada por atacantes malintencionados. De manera predeterminada, Android confía en cualquier aplicación que use una clave de firma de plataforma legítima, que se usa para firmar aplicaciones del sistema central, a través del sistema de ID de usuario compartido de Android.

Sin embargo, los fabricantes de equipos originales (OEM) de Android han filtrado las claves de firma de su plataforma, lo que permite a los creadores de malware obtener permisos a nivel de sistema en un dispositivo de destino. Esto pondría a disposición del atacante todos los datos del usuario en el dispositivo específico, al igual que otra aplicación del sistema del fabricante firmada con el mismo certificado.

Otra parte alarmante de la vulnerabilidad es que no necesariamente requiere que un usuario instale una aplicación nueva o “desconocida”. Las claves de plataforma filtradas también podrían usarse para firmar aplicaciones confiables comunes como la aplicación Bixby en un dispositivo Samsung. Un usuario que descargó una aplicación de este tipo desde un sitio web de un tercero no vería una advertencia durante la instalación en su teléfono inteligente, ya que el certificado coincidiría con el de su sistema.

Sin embargo, Google no ha mencionado explícitamente la lista de dispositivos u OEM que hasta ahora se han visto afectados por la vulnerabilidad crítica en su revelación pública. Sin embargo, la divulgación incluye una lista de archivos de malware de muestra. La plataforma tiene desde reportado confirmó la lista de teléfonos inteligentes afectados, que incluye dispositivos de Samsung, LG, Mediatek, Xiaomi y Revoview.

El gigante de las búsquedas también ha sugerido formas para que las empresas afectadas mitiguen el problema en cuestión. El primer paso es producir las claves de firma de la plataforma Android que se han marcado como filtradas y reemplazarlas con nuevas claves de firma. La compañía también instó a todos los fabricantes de Android a reducir drásticamente el uso frecuente de la clave de la plataforma para permitir que una aplicación firme otras aplicaciones.

Según Google, el problema se informó por primera vez en mayo. Desde entonces, Samsung y todas las demás empresas afectadas ya han tomado medidas correctivas para mitigar y minimizar las vulnerabilidades en cuestión. Sin embargo, según Android Police, algunas de las claves vulnerables enumeradas en la divulgación eran recientes. usado para aplicaciones para teléfonos Samsung y LG cargados en APK Mirror.

“Los socios OEM implementaron rápidamente medidas de mitigación tan pronto como informamos el compromiso clave. Los usuarios finales estarán protegidos por las mitigaciones de usuarios implementadas por los socios OEM”, dijo Google en un comunicado a BleepingComputer.

Se recomienda a los usuarios de Android que actualicen sus versiones de firmware a las últimas actualizaciones disponibles para mantenerse protegidos de posibles agujeros de seguridad como el revelado por Google y estar atentos al descargar aplicaciones de fuentes de terceros.


Los enlaces de afiliados pueden generarse automáticamente; consulte nuestra declaración de ética para obtener más detalles.

Compruebe también

Apple suma el iPhone 16 a su programa de reparación de autoservicio

El iPhone 16 de Apple se lanzó hace menos de dos meses. Por lo tanto, …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *