Bluebox Security, una compañía basada en San Francisco, presentó hoy los resultados de una investigación realizada en la plataforma móvil de Google, Android, y que reveló la presencia de una importante falla de seguridad en el sistema operativo.
Según explicó la empresa en su sitio web, se trata de un problema de verificación de identidad. Usualmente las aplicaciones incluyen certificados de seguridad, correspondientes a empresas desarrolladores, y que son requeridos por el sistema operativo para que el software pueda acceder a ciertas funciones del equipo o a información almacenada en él.
La falla detallada por Bluebox indica que aunque Android exige a las aplicaciones que presenten estos certificados de identidad, no hace una comprobación con la fuente sobre su veracidad. Esto permite que, por ejemplo, una persona cree una aplicación con código malicioso pero incluya un certificado falsificado de una aplicación de Adobe. El teléfono nota el certificado y le permite actuar.
Bluebox califica el hallazgo como grave, indicando que "esencialmente, cualquier cosa que requiera la verificación de cadenas de firmas en una aplicación Andriod está efectado por esta vulnerabilidad".
La firma asegura que la falla, bautizada como "Fake ID", afecta a equipos que usen Android desde la versión 2.1 (lanzada en enero de 2010) en adelante, aunque el más reciente lanzamiento (KitKat, 4.4) solucionó un problema que afectaba específicamente a certificados de Adobe.
Según publica Bloomberg, Bluebox alertó a Google sobre la situación el 31 de marzo pasado. Durante abril, la compañía desarrolló y liberó un parche, dando un plazo de 90 días a los fabricantes de equipos Android para implementarlo antes de que Bluebox pudiera publicar los resultados de su investigación. La firma de seguridad sólo sabe de un fabricante que ha liberado el parche.