Un error de seguridad publicado por un grupo de desarrolladores lleva sin solucionarse desde mayo, fecha en que lo publicaron. Permitiría espiar por completo el dispositivo.

Los errores de seguridad están a la orden del día en todos los sistemas operativos, también en Android. Pese a que leemos fallos en este sentido casi a diario lo cierto es que nuestro sistema no ofrece demasiadas complicaciones con un uso lógico y absteniéndonos de instalar según qué aplicaciones. Lo cual no implica que se siga expandiendo todo tipo de malware.

Los permisos ponen barreras a los accesos del dispositivo. Unos son más peligrosos que otros, de ahí que prestemos más atención a los permisos de identidad o de la ID de dispositivo. Pero los de accesibilidad no escapan del riesgo, tal y como nos explican desde Cloak & Dagger: este error, publicado el 22 de mayo, permitiría el control del dispositivo al tener acceso a la interfaz del usuario sin que este lo sepa.

Este error de seguridad se aprovecharía de los servicios de accesibilidad (a11y) para dibujar una capa invisible por encima de la interfaz del usuario y, sin que este lo sepa, capturar todo lo que escribe o toca. Por ejemplo, un atacante podría proyectar una capa invisible que se adaptara al teclado en pantalla permitiéndole capturar las contraseñas que escribimos.

Cloak & Dagger, ataques que capturan la interacción del usuario

Como decimos, los atacantes utilizarían los servicios de accesibilidad y el permiso de sobreponer aplicaciones para crear una capa invisible capaz de capturar todo lo que se toque en pantalla. Las contraseñas y textos estarían en peligro; todo de manera extremadamente simple y sin que el usuario se percatase: el permiso de «Superponer a aplicaciones» vendría implícito en la instalación de las apps sospechosas. Y con dicho permiso las apps podrían acceder a los servicios de accesibilidad completando así su método para espiar nuestros dispositivos.

El problema afecta a todas las versiones de Android desde Lollipop 5.1.1. El equipo dio a conocer el conjunto de vulnerabilidades Cloak & Dagger en mayo de 2017 sin que Google haya solucionado los errores. De hecho afecta a la última versión final, la 7.1.2. Y, como afirma uno de los desarrolladores del equipo que descubrió las vulnerabilidades, estas podrían ser aún peores de lo que habrían planteado.

Como suele ocurrir, las aplicaciones maliciosas que incluyan esta o cualquier otra vulnerabilidad no son las de desarrolladores más conocidos, primer paso para frenar cualquier contagio. El segundo es no instalar aplicaciones desde fuera de la Google Play Store: cada vez están más infectadas, especialmente las apps que son oficialmente de pago.

Imagen de portada iStock