Un nuevo fallo de seguridad descubierto en Android ha puesto el punto de mira de todos los medios en las vulnerabilidades que desde hace mucho tiempo giran entorno a este sistema operativo. La nueva vulnerabilidad responde a la denominación de Fake ID, y se trata de un fallo de seguridad que permite a los desarrolladores engañar al sistema operativo Android con aplicaciones que podrían contener código malicioso. Esto quiere decir que a través de este fallo de seguridad existe la posibilidad de que aplicaciones maliciosas ejecuten órdenes dentro de los móviles o tabletas sin que el usuario sea consciente de ello.
Y tal y como ya explicamos hace algún tiempo, el principal objetivo de las estafas en Android es obtener dinero de forma ilícita, por lo que este fallo de Fake ID descubierto en Android podría permitir a los desarrolladores de aplicaciones maliciosas acceder a información tan sensible como, por ejemplo, los datos de la tarjeta de crédito.
El funcionamiento exacto de este fallo de seguridad consiste en que los desarrolladores de aplicaciones maliciosas aprovechan un error criptográfico presente en todos los sistemas operativos Android con versión igual o superior a Android 2.1 (de hecho, hasta la versión más reciente de Android 4.4.2 KitKat viene con este fallo de seguridad). El error criptográfico permite a las aplicaciones maliciosas ejecutar órdenes que, en condiciones normales, no deberían poder llevarse a cabo debido a los permisos que la aplicación tiene autorizados por parte del usuario. Esto quiere decir que aunque al descargar una aplicación aparezcan permisos aparentemente lógicos, después puede darse el caso de que la aplicación resulte ser maliciosa y contenga otros permisos mucho más peligrosos que los que hemos aceptado al descargarla.
Al parecer Google ya está al tanto de este problema de seguridad, por lo que solamente es cuestión de tiempo que lance una actualización destinada a solucionar este fallo. Mientras tanto, la única precaución que deben seguir los usuarios de Android a la hora de descargar aplicaciones de Google Play es que verifiquen que están descargando una aplicación de un autor oficial o reconocido. Además, se recomienda por completo evitar el uso de otras tiendas de aplicaciones extra-oficiales dado que pueden contener aplicaciones maliciosas camufladas bajo el nombre de aplicaciones oficiales.
Además de este fallo de seguridad, recientemente un usuario anónimo descubrió otro serio error en Android que permite a cualquier persona cambiar la contraseña de una cuenta de Google asociada al móvil sin necesidad de conocer ningún tipo de información sobre dicha cuenta. Simplemente se necesita tener acceso al móvil al que está asociada la cuenta a la que se quiere acceder, y a partir de ahí es posible modificar su contraseña para después realizar acciones como, por ejemplo, comprar aplicaciones utilizando los datos de pago que haya introducido el verdadero propietario de la cuenta.
