Investigadores de la Universidad Técnica de Viena han descubierto una vulnerabilidad de seguridad en Android que permite que aplicaciones maliciosas se ejecuten de forma completamente invisible en primer plano, engañando a usuarios para conceder permisos críticos como acceso a cámara, micrófono o incluso borrar datos sin su conocimiento.
El equipo dirigido por Philipp Beer, Sebastian Roth, Marco Squarcina y Martina Lindorfer del Grupo de Seguridad y Privacidad demostró que una aplicación fraudulenta puede iniciar otra aplicación sin ser detectada, pero mostrarla de forma transparente, permaneciendo activa en primer plano pero invisible al usuario.
"Una aplicación fraudulenta puede iniciar otra sin ser detectada, pero mostrarla de forma transparente. Ahora está en primer plano y se puede controlar con un toque, pero permanece invisible", explica Beer. El ataque explota las animaciones normales de Android como fundidos de entrada lentos o deslizamientos.
Para demostrar la vulnerabilidad, los investigadores crearon un juego aparentemente inocuo donde los usuarios ganan puntos tocando pequeños bichos en pantalla. Sin embargo, el juego abre secretamente una aplicación como un navegador web, colocando los bichos estratégicamente para que los usuarios interactúen con la aplicación invisible.
"Sientes que sigues jugando al juego de los bichos, pero en realidad estás usando la aplicación recién lanzada, que ni siquiera puedes ver", describe Beer. Durante pruebas con 20 sujetos, lograron obtener varios permisos sin que los usuarios se dieran cuenta, incluyendo acceso a la cámara del smartphone.
Las implicaciones son alarmantes: teóricamente, este método podría usarse para abrir aplicaciones bancarias, autorizar transferencias, borrar todos los datos del teléfono o acceder a información personal sensible, todo mientras el usuario cree estar jugando un juego simple.
Afortunadamente, los investigadores examinaron aproximadamente 100.000 aplicaciones de Google Play Store y no encontraron ninguna que explote actualmente esta vulnerabilidad. "Esperamos que la vulnerabilidad aún no haya causado daños reales, pero, por supuesto, el problema debe solucionarse", señala Beer.
El equipo ya contactó al equipo de seguridad de Android, y técnicamente es posible solucionar la vulnerabilidad. Los fabricantes de Firefox y Google Chrome ya han implementado correcciones en sus navegadores, y GrapheneOS, un sistema operativo basado en Android diseñado para maximizar seguridad, también solucionó el problema.
La investigación será presentada en USENIX, la principal conferencia mundial de seguridad, en Seattle. "Como regla general, nunca deberías instalar aplicaciones que no parezcan provenir de una fuente confiable", advierte Beer, recomendando prestar atención a iconos de acceso a cámara o micrófono en la barra de estado.
Como medida preventiva adicional, los usuarios pueden desactivar completamente las animaciones de aplicaciones en configuración del sistema, navegando a "Accesibilidad" y luego "Color y movimiento", eliminando así la posibilidad de que se explote esta vulnerabilidad específica.
Fuente: Universidad Técnica de Viena
