Microsoft descubre un fallo de seguridad en Android que abría una puerta trasera en los móviles

Un fallo grave de seguridad en Android fue comunicado por Microsoft: gracias a los permisos de aplicaciones preinstaladas en determinados móviles, un atacante podía aprovechar esos accesos para inyectar su propio código malicioso. El error está en vías de solucionarse.

No son pocas las brechas de seguridad que tiene Android: por su naturaleza abierta y por haberse convertido en el sistema operativo móvil más extendido en el mundo. Dado que existen una ingente cantidad de fabricantes, y que la personalización de los teléfonos se lleva al extremo, a menudo se incluyen aplicaciones que, pese a dirigirse a potenciar la seguridad, terminan abriendo una puerta a los móviles. Es justo lo que descubrió Microsoft.

Un framework de sistema servía como coladero
Code Injection
Inyección de código aprovechando la vulnerabilidad de mce
Todas las empresas importantes de software dedican una parte de su equipo a analizar los desarrollos que ponen en circulación; tanto sus propios programas como los de otras empresas. Google posee su propio grupo de seguridad, por ejemplo; igual que Microsoft. Y, dado que el dueño de Windows y de Office posee un segmento de negocio dedicado a Android, Microsoft busca agujeros de seguridad que podrían utilizarse como ataque.

Según publicó esta semana Microsoft, la empresa descubrió una importante brecha de seguridad en un popular framework, un marco de desarrollo utilizado por las operadoras para preinstalar en sus móviles subvencionados ciertas aplicaciones de control y de gestión. El framework, denominado como mce, incluye permisos de administración. Con un inconveniente, ya solucionado: tal y como descubrieron los ingenieros de Microsoft, mce sufría una vulnerabilidad de la que podían aprovecharse otras aplicaciones.

El framework mce permite crear software de análisis en los teléfonos con los que verificar desde su seguridad a su correcto funcionamiento. La empresa detrás del marco de desarrollo, mce Systems, recibió el aviso de Microsoft y ya ha corregido su producto. Lamentablemente, no todos los móviles equipados con las aplicaciones se han actualizado; por lo que la vulnerabilidad podría seguir aprovechándose.

Como confirmó Microsoft, la empresa también comunicó su hallazgo a Google. Ésta ya ha incluido la vulnerabilidad en la lista de correcciones a incluir en los futuros parches de seguridad de Android; por lo que no debería de tardar en solucionarse (ya sea por la corrección de mce como por la de Google). Y afectaría a aquellos móviles que incluyen software precargado de operadora y desarrollado aprovechando el citado framework.

Dado que el framework habilita el acceso a partes clave de Android gracias a los permisos que tiene asignados por defecto, Microsoft descubrió que un atacante podía inyectar código a través de las apps creadas con dicho framework
En principio en España no deberíamos de preocuparnos: los móviles no acostumbran a incluir aplicaciones preinstaladas de operadora.

IVÁN LINARES - XatakaMovil