Google ya ha resuelto el agujero de seguridad de Bluebox; es el turno de los fabricantes

Google ya ha encontrado una solución para la vulnerabilidad que afectaba al 99% de los dispositivos Android. Ahora son los fabricantes quienes deben corregir el bug, algo que ya han comenzado a hacer.

Resolver la vulnerabilidad de Android descubierta por Bluebox en febrero de este año y que fue dada a conocer la semana pasada depende ahora de los fabricantes de dispositivos, pues Google ya ha encontrado la solución al problema. La naturaleza del agujero de seguridad de Bluebox hacía que el 99% de los teléfonos y tabletas Android pudiesen verse afectados y, además, hacía especialmente vulnerables a los usuarios de terminales con software instalado por el fabricante.

Estas aplicaciones suelen tener permisos especiales que les permiten controlar prácticamente la totalidad del equipo. En una situación normal no supone un problema, pero si fuesen infectados por un programa malicioso que se aprovechase de esta vulnerabilidad de Android, el atacante se podría valer de estos permisos.
El fallo, que estaba presente desde la versión 1.6 de Android, permite saltarse la firma criptográfica y de este modo se evita que Android sepa que sea ha modificado el código del APK de una aplicación. Es decir, éstas se podían cambiar y mantener sus permisos sin que el usuario se enterase de ello.
Google ya ha parcheado este fallo, pero la solución debe ser implementada por los fabricantes (OEM), que ya han recibido la actualización, según ha informado la compañía a ZDnet. De todos modos, la empresa no ha publicado un comunicado para anunciar la noticia que, por otro lado, no les deja en buen lugar. Simplemente se limitó a confirmar por medio de una de sus portavoces, Gina Scigliano, que se había proporcionado el parche y que algunos fabricantes, como Samsung, ya habían comenzado a distribuir una actualización con la solución.
Aunque el buscador ha trabajado con rapidez, parece que lo ha hecho desde la publicación del fallo y no desde que tuvo conocimiento del mismo (en febrero). A finales de mes, durante la conferencia Black Hat, el CEO de Bluebox explicará con todo detalle cómo descubrieron la vulnerabilidad de Android y cómo se puede explotar. Según Scigliano, no han detectado ninguna aplicación que se aprovechase del bug en Google Play ni en ninguna tienda no oficial.