Tecnología

Una vulnerabilidad de Android en el sensor NFC de pagos móviles permitía instalar 'malware'

4 noviembre, 2019 13:20

MADRID, 4 (Portaltic/EP)

Google ha solucionado a través de una actualización de Android una vulnerabilidad en este sistema operativo que funcionaba a través del sensor NFC, utilizado para funciones como los pagos móviles, que permitía a los atacantes la instalación de 'malware' de forma remota sorteando los mecanismos de protección.

La vulnerabilidad fue descubierta en enero por parte del experto en ciberseguridad Y. Shafranovich, y se encontraba presente en Android 8 Oreo y todas las versiones posteriores (9 Pie y Android 10) a través de la aplicación Android Beam, que gestiona los usos del sensor NFC.

Como explican en ZDNet, las aplicaciones enviadas a través del sensor NFC en Android se almacenan en disco y se envía al usuario una notificación para permitir su descarga, advirtiendo de la procedencia externa de la 'app', pero con la introducción del 'software' de Android Beam, este mensaje de seguridad dejó de mostrarse.

De esta manera, Android permitía a los usuarios instalar aplicaciones de fuentes externas sin la necesidad de activar para ello la configuración en los ajustes del sistema, como ocurre con el 'software' que se instala con el resto de métodos ajenos a la plataforma oficial Google Play.

La vulnerabilidad, conocida como CVE-2019-2114 y calificada como de severidad "alta", ha sido parcheada en las actualizaciones de seguridad de Android del pasado mes de octubre, como ha explicado Google en su boletín de seguridad.

Este fallo de seguridad "podía permitir a una aplicación maliciosa evitar requerimientos de interacción con el usuario para ganar acceso a permisos adicionales", según ha explicado la compañía estadounidense. Para evitarlo, se ha dejado de incluir a Android Beam en la lista blanca de fuentes de confianza de Android.