MADRID, 29 Jul. (Portaltic/EP) -
Los 'smartphones' y tabletas Android están expuestos a 'malware' debido a un fallo de seguridad que se acaba de descubrir y que los expertos ya han denominado como 'Fake ID', según investigaciones de la empresa de seguridad BlueBox.
Al parecer, el 'malware' permite insertar código malicioso en aplicaciones, acceder a datos de la tarjeta de crédito del usuario y tomar el control de los ajustes del dispositivo.
BlueBox Labs alerta de que lo preocupante es que el 'malware' puede actuar sin que los propietarios le den un permiso especial para acceder a los dispositivos.
La compañía dice que ha avisado a Google para que pueda reparar su sistema operativo cuanto antes y que no se produzcan graves problemas de seguridad. Por su parte Google ha dicho que ya ha creado una solución al fallo.
"Apreciamos que BlueBox nos informase responsablemente de esta vulnerabilidad. Con la investigación de terceros Android se hace más fuerte para los usuarios", ha asegurado una portavoz de Google.
"Después de recibir el aviso de esta vulnerabilidad, lanzamos rápidamente un parche que se distribuyó a los socios de Android, así como al proyecto de código abierto Android", ha señalado.
Sin embargo, los miles de dispositivos que aún tienen las versiones del sistema operativo que van desde Android 2.1 a Android 4.3 y a los que los operadores o fabricantes no les han enviado el parche siguen siendo vulnerables si descargan aplicaciones desde fuera de la tienda de Google Play.
'FAKE ID'
BlueBox ha apodado la vulnerabilidad como 'Fake ID', porque el problema tiene que ver con la forma en que Android se encarga de los ID digitales -conocida como firmas de certificación- y que se utiliza para verificar que ciertas aplicaciones son lo que parecen ser.
Cuando queremos acceder a algún edificio del Estado, por ejemplo, el guarda de seguridad nos pide la documentación necesaria y antes de darnos acceso puede llegar a realizar una llamada telefónica de comprobación. Pues bien, "el problema fundamental de Android es que no verifica ninguna demanda sobre la identidad de una aplicación", ha explicado el director de tecnología de BlueBox, Jeff Forristal, a la BBC.
