Microsoft descubre un agujero de seguridad en un marco de Android
Los smartphones se han convertido en el dispositivo por excelencia para millones de personas en todo el mundo gracias a las herramientas que ofrecen, tanto para realizar una gran variedad de tareas como para facilitar la comunicación con otras personas en nuestra ciudad y en todo el mundo.
Es por esto que muchos hackers consideran que los teléfonos inteligentes son el medio ideal para acceder a la información personal de los usuarios.
Por eso, las empresas de seguridad, conscientes de ello, siempre trabajan en el desarrollo de soluciones que ayuden neutralizar cualquier ataque dirigido a dispositivos móviles.
Uno de ellos es Microsoft, que recientemente realizó una operación bajo la cual corregido un vulnerabilidad severa que estaba comprometiendo la seguridad de una gran cantidad de teléfonos Android, en concreto, un problema presente en el diseño del Marco de autodiagnóstico preinstalado de MCE Systems.
Este marco en cuestión está integrado en una gran cantidad de aplicaciones del sistema como una herramienta de autodiagnóstico, que generalmente se puede encontrar en Play Store.
En el momento de ser descubierto por Microsoft, la vulnerabilidad se había abierto camino a través de la controles de seguridad automatizados de Google. Posteriormente, la compañía agregó esta anomalía a su lista de verificación luego de ser alertada por Microsoft.
Teniendo en cuenta la amplia presencia que tiene este framework al ser parte de las aplicaciones preinstaladas del sistema, los permisos que tiene son numerosos, lo que le da la control del teléfono casi por completo. Esto no debería ser un problema ya que solo la aplicación privilegiada del sistema es la que mantiene interacción directa con el framework.
Sin embargo, Microsoft descubrió que el diseño de este elemento ofrecía a cualquier atacante experimentado la oportunidad de implantar una puerta trasera persistente pasar desapercibido y así poder monitorear de incógnito a su objetivo o ejercer el control del dispositivo a través de inyecciones inseguras basadas en JavaScript.
Como solución a esta irregularidad en el marco, MCE Systems llevó a cabo la implementación de un software diferente.
Asimismo, se detectó que Google tiene una API en Android 5 y superior lo cual puede ser de mucha utilidad para corregir la vulnerabilidad, siendo así adoptado por MCE Systems para ejecutarlo en dispositivos que presenten compatibilidad, por lo que en el transcurso de estos días la 98% de los dispositivos se han actualizado a una versión de Android con las mejoras ya realizadas.