Se ha detectado un agujero de seguridad en la tienda de aplicaciones de Google, que podría ser utilizado por terceras personas para instalar de forma remota aplicaciones en los terminales Android. Esta vulnerabilidad en Play Store se ejecuta sin necesidad de que el usuario de su consentimiento para que esto se lleve a cabo.
Para la ejecución de la acción que hemos comentado es necesario utilizar un navegador que ofrezca ciertos problemas de seguridad y, combinado con la vulnerabilidad en Play Store que se ha detectado, es cuando se puede ejecutar un “exploit” (Play Store X-Frame-Options) que permite la instalación de aplicaciones en remoto en los distintos dispositivos que utilizan el sistema operativo de Google.
Algunas versiones Android más afectadas
Según se ha indicado, los dispositivos con sistema operativo Android 4.3 o anterior son los más afectados, que son los que ofrecen navegadores que tiene navegadores integrados que ofrecen problemas de seguridad (esto es algo que se conoce desde hace un tiempo). Los terminales que utilizan desarrollos de Google más actuales, ofrecen una seguridad mucho mayor y, por lo tanto, apenas se ven afectados.
Por cierto, es muy recomendable no utilizar navegadores de terceros que no sean de compañías reconocidas, ya que esto pueden basarse en los webkit que se ven afectados por los fallos de los que hablamos y, de esta forma, que la vulnerabilidad en Play Store se pueda ejecutar por parte de los hackers.
El proceso que se utiliza para aprovechar al agujero es la ejecución de dos vulnerabilidades a la vez, como hemos indicado antes, pero es la Cross-Site Scripting la más importante ya que esta es la que posibilita el estar firmado de forma casi perpetua en los servicios de Google y, por lo tanto, se tiene acceso a la tienda de aplicaciones como si se fuera otra persona y proceder a la instalación de desarrollos sin el consentimiento de este.
El uso responsable es clave
Debido a la vulnerabilidad en Play Store que se ha detectado, es importante intentar utilizar en el teléfono o tablet una versión Android KitKat o superior, ya que de esta forma los riesgos se minimizan. Además es muy importante utilizar navegadores de confianza (y que no se ven afectados por agujeros como el que comentamos -UXSS-). Un ejemplo puede ser Firefox, Dolphin y, como no, Chrome de la propia Google.
Vía: AmogTech