Un error de Android permite a los delincuentes plantar malware a través del NFC

Google parcheó, en octubre, una falla en Android que puede permitir a los piratas informáticos propagar malware a un teléfono cercano a través de una función poco conocida de Android OS llamada NFC beaming.
La transmisión NFC funciona a través de un servicio interno del sistema operativo Android conocido como Android Beam. Este servicio permite a un dispositivo Android enviar datos como imágenes, archivos, vídeos o incluso aplicaciones a otro dispositivo cercano utilizando ondas de radio NFC (Near-Field Communication), como alternativa a WiFi o Bluetooth.
Normalmente, las aplicaciones (archivos APK) enviadas a través de NFC Beaming se almacenan en el disco y se muestra una notificación en pantalla. La notificación pregunta al propietario del dispositivo si desea permitir que el servicio NFC instale una aplicación de una fuente desconocida.
Pero, en enero de este año, un investigador de seguridad llamado Y. Shafranovich descubrió que las aplicaciones enviadas a través de NFC en Android 8 (Oreo) o versiones posteriores no mostraban este aviso. En su lugar, la notificación permitiría al usuario instalar la aplicación con un solo toque, sin ninguna advertencia de seguridad.
Mientras que la falta de un prompt no suena importante, este es un problema importante en el modelo de seguridad de Android. Los dispositivos Android no están autorizados a instalar aplicaciones de “fuentes desconocidas”, ya que cualquier cosa que se instale desde fuera de la tienda oficial de Play Store se considera no fiable y no verificada.
Si los usuarios quieren instalar una aplicación desde fuera de la Play Store, tienen que visitar la sección “Instalar aplicaciones de fuentes desconocidas” de su sistema operativo Android y activar la función.
Hasta Android 8, esta opción “Instalar desde fuentes desconocidas” era una configuración para todo el sistema, la misma para todas las aplicaciones. Pero, comenzando con Android 8, Google rediseñó este mecanismo para convertirlo en una configuración basada en aplicaciones.
En las versiones modernas de Android, los usuarios pueden visitar la sección “Instalar aplicaciones desconocidas” en la configuración de seguridad de Android, y permitir que aplicaciones específicas instalen otras aplicaciones. Por ejemplo, en la imagen de abajo, las aplicaciones Chrome y Dropbox Android pueden instalar aplicaciones, similares a la aplicación Play Store, sin ser bloqueadas.
El error del CVE-2019-2114 residía en el hecho de que la aplicación Android Beam también estaba en la lista blanca, recibiendo el mismo nivel de confianza que la aplicación oficial de Play Store.
Google aseguró que esto no estaba destinado a suceder, ya que el servicio Android Beam nunca fue concebido como una forma de instalar aplicaciones, sino simplemente como una forma de transferir datos de un dispositivo a otro.
Los parches Android de octubre de 2019 eliminaron el servicio Android Beam de la lista blanca de fuentes de confianza del SO.
Sin embargo, muchos millones de usuarios siguen en riesgo. Si los usuarios tienen habilitado el servicio NFC y el servicio Android Beam, un atacante cercano podría plantar malware (aplicaciones maliciosas) en sus teléfonos.
Dado que no se solicita una instalación de una fuente desconocida, al puntear en la notificación se inicia la instalación de la aplicación maliciosa. Existe el peligro de que muchos usuarios malinterpreten el mensaje como si viniera de la Play Store e instalen la aplicación pensando que se trata de una actualización.
Hay buenas y malas noticias. La mala noticia es que la función NFC está activada de forma predeterminada en la mayoría de los dispositivos de nueva venta. Es posible que muchos propietarios de teléfonos inteligentes Android ni siquiera sepan que NFC está habilitado en este momento.
La buena noticia es que las conexiones NFC se inician sólo cuando dos dispositivos se colocan cerca uno del otro a una distancia de 4 cm (1,5 pulgadas) o menos. Esto significa que un atacante necesita acercar realmente su teléfono al de la víctima, algo que no siempre es posible.
Para estar seguro, cualquier usuario puede desactivar tanto la función NFC como el servicio Android Beam.
Si utilizan sus teléfonos Android como tarjetas de acceso o como soluciones de pago sin contacto, pueden dejar activado NFC, pero desactivar el servicio Android Beam. Esto bloquea el envío de archivos NFC, pero todavía permite otras operaciones NFC.
Así que, no hay necesidad de entrar en pánico. Simplemente desactiva Android Beam y NFC si no los necesitas, o actualiza tu teléfono para recibir las actualizaciones de seguridad de octubre de 2019 y sigue usando tanto NFC como Beam como de costumbre.

Comentarios

Entradas populares de este blog

Google Calendar: miles de calendarios mal configurados, expusieron información privada

Facebook suspendió “decenas de miles de aplicaciones” que atentan contra la privacidad de usuarios