La trampa de toque: vulnerabilidad de seguridad de Android descubierta

Lo que vemos en nuestras pantallas de teléfono móvil no siempre es lo que realmente estamos operando. Esto ha sido demostrado por un equipo de investigación en Tu Wien (Viena, Austria), que consiste en Philipp Beer, Sebastian Roth, Marco Squarcina y Martina Lindorfer.

En los teléfonos Android, una aplicación invisible puede estar activa en primer plano, y ese es un posible problema de seguridad. Luego, los usuarios operan una aplicación que no pueden ver y que pueden ser engañados para realizar acciones no deseadas, como otorgar ciertos derechos a una aplicación maliciosa o incluso eliminar datos.

El grupo de investigación ya está en contacto con el equipo de seguridad de Android. La vulnerabilidad de seguridad recién descubierta ahora se presentará en la conferencia de seguridad principal del mundo, Usenixcelebrado en Seattle (EE. UU.) 13-15 de agosto.

Juego inofensivo con consecuencias desagradables

Varias aplicaciones pueden estar activas en un teléfono inteligente al mismo tiempo. Normalmente, uno de ellos es visible en primer plano, y el usuario interactúa con él cuando tocan la pantalla. «Sin embargo, las aplicaciones también pueden iniciar otras aplicaciones y usar animaciones como desvanecimiento lento o deslizamiento», explica la cerveza del grupo de seguridad y privacidad en TU Wien (Instituto de Lógica y Computación). «Esto es exactamente lo que se puede explotar».

Una aplicación fraudulenta puede iniciar otra aplicación sin ser notada, pero mostrarla de manera transparente. Ahora está en primer plano y se puede controlar con un toque del dedo, pero permanece invisible.

«Intentamos esto creando un juego simple donde recopilas puntos tocando pequeños insectos en la pantalla», dice Beer. «Pero el juego abre otra aplicación, como un navegador. Ahora podemos colocar nuestros errores del juego donde quiera para que se aproveche la posición exacta en la pantalla. Sientes que todavía estás jugando el juego de errores, pero en realidad ahora estás operando la aplicación recién lanzada que ni siquiera puedes ver».

El equipo de investigación hizo que veinte sujetos de prueba intentaran el juego de errores, y de hecho pudieron obtener varios permisos inadvertidos de esta manera, como el acceso a la cámara del teléfono inteligente. «Teóricamente, también puede usar este método para iniciar una aplicación bancaria o eliminar todos los datos en su teléfono móvil», dice Beer.

No hay perpetradores hasta ahora

El equipo de Tu Wien ha demostrado que el ataque funciona. ¿Pero se está utilizando realmente? «Examinamos alrededor de 100,000 aplicaciones de Play Store y no encontramos ninguna que explote esta vulnerabilidad», dice Beer. «Por lo tanto, esperamos que la vulnerabilidad aún no haya causado ningún daño real, pero por supuesto, el problema debe solucionarse».

El equipo ya se ha puesto en contacto con el equipo de desarrollo de Android; Técnicamente, sería posible cerrar la laguna. También se han contactado a los fabricantes de Firefox y Google Chrome, ambos ya han cerrado la escapatoria para sus navegadores. Grapheneos, un sistema operativo basado en Android diseñado específicamente para maximizar la seguridad, también ha resuelto el problema.

«Como regla general, nunca debe instalar aplicaciones que no parezcan provenir de una fuente confiable», dice Beer. «Cuando se accede a la cámara o al micrófono, esto a menudo se indica con los íconos en la barra de estado, por lo que debe prestar atención a estos».

Si desea estar seguro, puede deshabilitar las animaciones de aplicaciones por completo (en la configuración en «Accesibilidad», «color y movimiento»).