Este fallo de seguridad afecta a los dispositivos móviles de las siguientes marcas: Asus, Fairphone, Lenovo, Microsoft, Nokia, Vivo y Nothing.
Android ostenta el título del sistema operativo móvil más ampliamente utilizado en todo el mundo, con una considerable participación de mercado que alcanza el 71 %. Esta popularidad, sin embargo, no pasa desapercibida para los ciberdelincuentes, quienes ven en Android una oportunidad para desarrollar malwares con el objetivo de infiltrar la mayor cantidad posible de dispositivos y así apoderarse de información confidencial, como credenciales bancarias e información privada de los usuarios.
Sin embargo, no todos los problemas de seguridad en Android se originan exclusivamente a partir de malwares. En ocasiones, las vulnerabilidades pueden surgir debido a configuraciones internas del sistema operativo de Google, revelando una puerta trasera que proporciona a los delincuentes control sobre los dispositivos de los usuarios.
Recientemente, una filtración ha expuesto una brecha de seguridad en Android que afecta a numerosos dispositivos de distintas marcas. Esta vulnerabilidad se atribuye a una serie de fallos identificados en AOSP (Proyecto de Código Abierto de Android).
Este inconveniente de seguridad impacta en dispositivos como ASUS Zenfone 9, vivo X90 Pro, Nothing Phone (2), o Fairphone 5. El experto en Android, Mishaal Rahman, compartió un artículo en X donde revela que el especialista en ciberseguridad Tom Hebb ha publicado un informe en la web del Red Team X de Meta. En dicho informe, se detalla el descubrimiento de que dispositivos Android de marcas prominentes están “firmando módulos APEX (unidades actualizables de código de sistema operativo altamente privilegiado) utilizando claves privadas del repositorio de fuentes públicas de Android”.
Este hallazgo representa una vulnerabilidad de gran gravedad, ya que posibilita a cualquier persona falsificar una actualización APEX destinada a uno de estos dispositivos, obteniendo así un control total sobre el mismo.
En cuanto a la responsabilidad por esta brecha de seguridad, Hebb no atribuye la culpa directamente a los fabricantes, sino que señala un error en la configuración de AOSP, el proyecto de código abierto de Android:
“En lugar de señalar negligencia por parte de un fabricante específico (OEM), creemos que los valores predeterminados inseguros, la documentación deficiente y la cobertura CTS incompleta en el Proyecto de Código Abierto de Android (AOSP) fueron las principales causas de este problema”.
La lista completa de dispositivos que podrían haberse visto afectados por esta vulnerabilidad incluye:
- ASUS Zenfone 9
- vivo X90 Pro
- Nokia G50
- Microsoft Surface Duo 2
- Lenovo Tab M10 Plus
- Nothing Phone (2)
- Fairphone 5
De cualquier manera, si posees uno de estos dispositivos, no hay motivo de preocupación. Como explica Rahman, este fallo de seguridad resulta complicado de aprovechar para atacantes reales y, además, la mayoría de los fabricantes afectados ya han abordado este problema mediante el parche de seguridad emitido en diciembre de 2023.
