Google ha corregido un error en el sistema operativo Android que podría haber permitido a los atacantes instalar una aplicación maliciosa en el teléfono de una víctima, pero solo si podían invadir su espacio personal.
Nightwatch Security encontró la vulnerabilidad, numerada CVE-2019-2114, y la describió en un aviso. El problema radica en Android Beam, una característica del sistema operativo móvil que permite transferir archivos grandes directamente entre teléfonos. Utiliza comunicaciones de campo cercano (NFC), un mecanismo de comunicaciones habilitado de forma predeterminada en la mayoría de los teléfonos Android, y utilizado a menudo para pagos sin contacto.
Los usuarios pueden enviarse archivos usando Android Beam colocando su teléfono a unos cinco centímetros de distancia. Si el teléfono puede enviar el contenido, aparecerá una opción para transferirlo.
Un tipo de archivo que se puede enviar utilizando esta tecnología es un archivo APK, que es una aplicación instalable en un dispositivo Android. Si recibe un APK, el servicio Android Beam intentará instalarlo automáticamente. Aquí es donde un atacante podría explotar la vulnerabilidad.
Por razones de seguridad, Android trata los APK que no provienen de la tienda oficial de Google Play como aplicaciones desconocidas. La versión 8 de Android (con nombre en código Oreo) y superior solicita el permiso del usuario antes de instalar cualquier aplicación desconocida. Se supone que eso impide que los usuarios instalen involuntariamente aplicaciones no autorizadas que han llegado al dispositivo, tal vez por correo electrónico o a través de una tienda de aplicaciones no oficial.
El software que gestiona el servicio NFC en el sistema operativo Android está firmado por Google, lo que significa que el sistema operativo confía en todo lo que presente. Eso significa que confía automáticamente en cualquier APK entregado al dispositivo a través de Android Beam, y lo instalará sin avisar al destinatario que la aplicación es desconocida.
Esto no quiere decir que la vulnerabilidad sea fácilmente explotable. Aunque no advierte que la aplicación es desconocida, el sistema operativo aún le presenta al usuario un aviso solicitando permiso para instalar cualquier aplicación, lo que significa que aún tendrían que aprobarla. También está el pequeño problema de acercar el teléfono del atacante al teléfono de la víctima sin que sea obvio.
Dicho esto, es un ataque perfectamente posible. La víctima podría suponer que el mensaje de instalación fue una actualización de la aplicación. En cuanto a la colocación del dispositivo de ataque, ¿quizás el atacante podría crear una cavidad en la parte inferior de un escritorio con una capa muy delgada entre su teléfono y la superficie, lo que permitiría comunicarse con el teléfono de la víctima?
Sin embargo, incluso si alguien quisiera poner tanto esfuerzo, hay maneras fáciles de frustrar el ataque, según Nightwatch.
¿Qué hacer?
Puede desactivar los permisos para que la aplicación NFC instale aplicaciones desconocidas, lo que evitará que la aplicación NFC intente instalar un APK.
También puede desactivar Android Beam en el área de NFC y Pago de la configuración de su dispositivo Android, sin dejar de usar NFC para pagos sin contacto.
Finalmente, puede instalar la solución que Google lanzó el mes pasado, reparando la vulnerabilidad.
Aconsejamos también la utilización de Sophos Mobile, protege sus dispositivos Android sin afectar al rendimiento ni a la duración de la batería.