Aplicaciones en la Play Store utilizan el bug “Master Key” de Android

Escrito por Rubén Velasco
Android
0

Hace unos días se descubrió el mayor bug de la historia de Android que afectaba prácticamente al 99% de los usuarios de dicho sistema operativo. Ese bug permite a un pirata informático modificar el código de su aplicación sin modificar la firma de esta, ya que Android no lo comprobaba, por lo que seguirá pareciendo legítima a ojos del usuario.

Hasta ahora, se pensaba que este bug únicamente afectaba a las aplicaciones que se descargaban desde tiendas de aplicaciones externas, ya que la Play Store de Google analizaba y tenía un mayor control sobre este tipo de comprobaciones, pero no ha sido así. Se han encontrado 2 aplicaciones, presentes en la Play Store desde hace bastante tiempo, que utilizan esta vulnerabilidad de Android.

Las aplicaciones que se han detectado con esta vulnerabilidad han sido Rose Wedding Cake GamePirates Island Mahjong Free. Ambas aplicaciones han sido actualizadas a mediados de mayo ganando un considerable número de usuarios hasta el día de hoy.

Las aplicaciones no son maliciosas, no se las ha modificado el código ni han sido modificadas, por lo que no hay ningún tipo de peligro en su descarga o uso. Este fallo ha sido generado probablemente de forma inconsciente por los programadores ya que se trata de que el paquete de la aplicación contiene imágenes en formato PNG que no han sido registradas, probablemente por un olvido.

Ambas aplicaciones han pasado totalmente inadvertidas por Google hasta ahora. Las suites de seguridad como GData o las roms como CyanogenMod advierten al usuario que el archivo no está firmado correctamente debido a este error con los archivos de imagen.

android_master_key

Aunque este error no perjudica al sistema, es una muestra de que tampoco estamos seguros al descargar aplicaciones de la Play Store. Debemos instalarlos una aplicación que tenga un pequeño control sobre esta vulnerabilidad o una rom modificada, aunque lo que debería hacer Google es lanzar un parche masivo al mayor número de dispositivos posibles que corrija lo más pronto posible este bug, ya que puede abrir las puertas a nuevos tipos de infección.

Aunque el principal problema del bug “Master key” es la modificación de código, el descubrimiento de estas 2 aplicaciones en la Play Store demuestra que para ser la tienda de aplicaciones oficial de Android no dispone de los controles que debería ante las aplicaciones que suben los editores. Los usuarios deben tener cuidado con las aplicaciones que instalan, ya sea desde la Play Store como desde fuera de ella.

Compártelo. ¡Gracias!