La firma especializada en seguridad Bluebox Security ha dado a conocer un grave fallo en el sistema operativo móvil Android que afecta a casi la totalidad de las versiones del sistema y permite tomar el control de los dispositivos y robar sus datos y contraseñas.

El fallo tiene que ver con el proceso de verificación de las aplicaciones Android que se distribuyen a través de las distintas tiendas de apps no oficiales alrededor del mundo. Todas las aplicaciones Android deben estar criptográficamente verificadas, pero esta vulnerabilidad permite modificar este código criptográfico una vez que la app ha sido publicada en la tienda correspondiente, sin que el usuario sea notificado sobre ello.

Aunque la tienda oficial de Google, Google Play, realiza un control bastante exhaustivo al respecto, no se puede decir lo mismo de los centenares de repositorios de apps Android que existen en todo el mundo. Esto permite que cualquier programa disponible en estos repositorios pueda contener un troyano que, una vez instalada la app en el móvil del usuario, tome el control del terminal. El malware es capaz de leer los datos del usuario, recuperar las contraseñas almacenadas y controla cualquier función del teléfono, incluidas las llamadas, mensajes SMS o incluso la cámara.

Bluebox Security demuestra cómo se puede modificar una app para poder acceder a todos los datos del terminal añadiendo su nombre al apartado Baseband.

La compañía Bluebox Security que ha descubierto el fallo lo comunicó el pasado mes de febrero a Google, que a su vez ha avisado del problema a sus socios para que distribuyan las últimasactualizaciones a los terminales. Sin embargo, debido a la fragmentación que caracteriza al mercado Android, son muchos los proveedores y fabricantes que aún no han hecho llegar las correspondientes actualizaciones a sus usuarios.

Según los datos de Bluebox, gran parte de los terminales Android distribuidos desde hace cuatro años pueden ser vulnerables a este fallo, especialmente aquellos ubicados en los países asiáticos y Europa del Este, donde las tiendas de apps no oficiales proliferan y distribuyen cientos de miles de aplicaciones sin las medidas de seguridad adecuadas.

Las recomendaciones de seguridad de esta compañía para los usuarios de Android pasan por no instalar apps de desarrolladores desconocidos, ceñirse en la medida de lo posible a laoferta oficial de Google Play y, por supuesto, mantener el sistema actualizado a la versión más reciente posible. En la conferencia de seguridad Black Hat USA que tiene lugar a finales de julio Bluebox Security tiene previsto desvelar más detalles técnicos sobre este grave agujero de seguridad.