La firma de seguridad Oversecured, que descubrió siete vulnerabilidades en aplicaciones de Samsung que afectaban a sus teléfonos, publicó información que revela otra vulnerabilidad grave, pero esta vez en una aplicación desarrollada por Google que ha sido descargada en Android más de 5,000 millones de veces.
Se trata de la app de Google para Android, y cuya vulnerabilidad permitía robar datos privados de los usuarios e instalar malware a través de otras aplicaciones, un problema muy similar al descubierto en aplicaciones de Samsung en Android.
Sergey Toshin, fundador de Oversecured, mencionó en una publicación que esta vulnerabilidad permitía a los hackers obtener datos confidenciales de los usuarios como correos electrónicos de Gmail, acceso a contactos, mensajes de texto , historial de llamadas y el historial de búsqueda. Asimismo, los hackers podrían aprovechar ataques para encender la cámara, micrófono y hacer y recibir llamadas sin que el usuario lo supiera.
Toshin mencionó que el problema estaba en la carga dinámica de código de bibliotecas o archivos nativos. De hecho, el investigador instó a los desarrolladores a no utilizar la carga dinámica de código, pues es una práctica poco segura que constantemente tiene vulnerabilidades. De hecho, hace tiempo él descubrió una vulnerabilidad similar en la aplicación de TikTok para Android debido a este proceso.
Si el atacante lograba explotar la vulnerabilidad podía engañar a la app de Google para que tomara código malicioso cargado desde otra aplicación de forma dinámica, de esta manera tenía acceso a los datos de los usuarios.
Lo peligroso es que se descubrió que, a pesar de eliminar la aplicación que cargó el malware, este podía seguir operando sin problema.
El error fue solucionado
Sergey Toshin informó a Google sobre la vulnerabilidad en febrero de este año, y la empresa de Mountain View solucionó la falla con una actualización de seguridad el pasado mes de mayo, por lo que la única forma de no estar expuesto a esta falla es instalando la última versión disponible de la app de Google en Android.
Google pagó 5,000 dólares a Toshin por el descubrimiento como parte de su programa de recompensas por vulnerabilidades.
“Creamos nuestro Programa de Recompensas por Vulnerabilidades específicamente para identificar y corregir vulnerabilidades como esta. Agradecemos la participación de Oversecured y de la comunidad de seguridad en general en estos programas. Hace más de un mes implementamos una solución para nuestros usuarios y no hemos visto ninguna evidencia de explotación”, mencionó un portavoz de la compañía.
Hasta el momento no hay evidencia que clarifique si hubo usuarios afectados por esta vulnerabilidad.