Certifi-gate, la más nueva vulnerabilidad de Android, podría estar afectando a millones de dispositivos

Publicado el 25 agosto 2015 por Unionmovil @unionmovil

Con la mayoría de los carriers y fabricantes de dispositivos que todavía están trabajando para abordar Stagefright, ya podría haber otra gran vulnerabilidad en la seguridad de los dispositivos con Android.

Apodado Certifi-gate, la vulnerabilidad se debe a un software como TeamViewer, CommuniTake Remote Care y MobileSupport por Rsupport. Estas aplicaciones son utilizadas por una variedad de compañías y fabricantes de equipos, incluyendo Samsung, LG y HTC, para proporcionar el servicio al cliente a distancia para las personas que utilizan sus dispositivos. Estas aplicaciones llevan certificados que les permitan tener acceso root para el sistema operativo del dispositivo y del hardware.

De acuerdo con Check Point, la empresa de seguridad que descubrió la vulnerabilidad, estas aplicaciones son inseguros, y hay ya al menos una aplicación en la Play Store que está tomando ventaja de ellos con malas intenciones.

La firma lanzó una aplicación que permite a los usuarios de Android para comprobar si su dispositivo en particular es susceptible a la vulnerabilidad. Cuando la empresa presentó sus hallazgos en la conferencia de seguridad BlackHat en Las Vegas la semana pasada, dijo que 100.000 personas habían descargado la aplicación. De esas personas, 30.000 habían acordado proporcionar de manera anónima información sobre su dispositivo a Check Point.

Con los datos obtenidos, que se publicó en un blog, la firma dice que fue capaz de determinar que el 58 por ciento de los dispositivos Android son vulnerables al error. Por otra parte, 15,84 por ciento de los 30.000 usuarios ya tienen el plugin instalado en su dispositivo. Los dispositivos más vulnerables son los teléfonos LG, al 72%, seguido por Samsung y HTC.