¿Android vulnerable?

Pues si, se ha descubierto una vulnerabilidad de Android que afecta al 99% de dispositivos y que permitiría a un atacante reemplazar ciertas APKs por un fallo en el sistema criptográfico y de actualizaciones. Pero primero para que todo el mundo entienda explicamos poco a poco las cosas. Tenemos que saber porqué las aplicaciones van firmadas y como se actualizan.

Por un lado ¿Quién puede actualizar aplicaciones?...Cualquiera mínimamente familiarizado con Android sabe que las aplicaciones están empaquetadas en archivos APK: básicamente, un archivo ZIP con el ejecutable (podríamos decir que es como si fuese un .EXE), información y recursos e imágenes de la aplicación.
Android tiene todas las aplicaciones de vuestro teléfono en archivos APK en el sistema. A la hora de actualizar una aplicación, la cosa es sencilla: reemplazamos el APK viejo con el nuevo . Puede que haga más tareas, pero esto es lo principal. Ahora bien, hay un problema potencial: ¿qué pasa si el APK nuevo no es del mismo desarrollador? Por ejemplo, ¿qué debería hacer Android si tú creas una actualización de Gmail y quieres instalarla sustituyendo la que ya tienes? La respuesta obvia es que no debería dejarte. Android sólo permite actualizaciones en las que el APK nuevo ha sido creado por el mismo que creó el APK viejo. Para ello usa un proceso llamado firma criptográfica. En qué consiste la firma de un APK

Plantearos que la firma criptográfica es como sellar un papel. Sólo tú tienes ese sello, y si alguien escribe algo más en el papel tendrá que hacerlo por encima del sello (usad la imaginación), de tal forma que sabrás que se ha modificado. El proceso más técnico, pero simplificado, es el que sigue: Obtenemos la huella digital del APK. Esta huella o hash es como tu huella dactilar: es única para ese APK y no se repite (teóricamente). Si algo cambia, el hash cambia también. Ciframos el hash con la clave privada del desarrollador. Esta clave sólo la tiene él y no la comparte con nadie más, por algo es privada. Ese hash cifrado es la firma digital.
Vayamos ahora a la parte de verificación de la firma: Recibimos la firma digital, y la desciframos con la clave pública del desarrollador. Calculamos el hash del APK que hemos recibido y comparamos con lo que hemos descifrado de la firma digital. Si coinciden, la firma es válida. Como el hash es único para cada APK, nos aseguramos de que el paquete no se ha modificado desde que lo creó el desarrollador. Por otra parte, si un mensaje se cifra con una clave privada sólo se puede descifrar con la clave pública correspondiente; y con esa clave pública no podrás descifrar mensajes de ninguna otra clave privada. De esta forma que te aseguras que sólo ha podido ser el desarrollador quien ha creado el paquete. Es decir, que tal y como está planteada la firma digital, es un certificado imposible de falsificar (como siempre, en teoría) que te asegura que el desarrollador fue el que creó esa aplicación y que nadie más la ha modificado.

A la hora de instalar la actualización, Android comprueba dos cosas: que la firma del APK sea válida y que la clave privada sea la misma con la que se firmó la versión anterior. Si el paquete se ha firmado con otra clave, el sistema lo reconocerá como una aplicación nueva y no sustituirá a la vieja.
Este método asegura que sólo el desarrollador original, y nadie más que él, puede crear actualizaciones para sus aplicaciones.

¿Y la vulnerabilidad? Una vez que ya sabemos perfectamente cómo se actualiza una aplicación de Android, veamos dónde se ha encontrado la vulnerabilidad. Bluebox no ha desvelado todos los detalles del fallo, ni cómo funciona ni cómo explotarlo. Sólo ha dicho dónde está y en qué consiste. Se trata de un fallo en el sistema de verificación de la firma de las aplicaciones. Gracias a él, alguien podría modificar un APK de tal forma que la firma digital seguiría siendo válida. Por ejemplo, podría cambiar el APK de Gmail y Android seguiría pensando que no ha sido modificado desde que lo firmó Google al crearlo. Una vez que podemos modificar los paquetes sin invalidar la firma, alguien podría introducir código malicioso en un APK conocido sin que el sistema lo detecte. Básicamente, pueden conseguir que instales una aplicación maliciosa disfrazada de aplicación conocida y confiable. Un ejemplo de escenario de ataque: te envían un enlace diciendo que ha salido una nueva actualización de Google Maps. Descargas el paquete (un APK de Google Maps firmado por Google), te aparece el aviso preguntando si quieres actualizar, aceptas y listo. Android no detecta que en realidad ese paquete ha sido modificado y tiene un troyano que permitirá a un atacante obtener acceso a tu teléfono. Al ser una actualización no necesita pedirte permisos: ya se los diste al instalar la aplicación original. Quizás no pase nada si instalas una actualización maliciosa de Angry Birds: al fin y al cabo no tendrá muchos más permisos que la aplicación original. Pero, ¿y si la actualización es para Gmail, por ejemplo? Tendrían acceso a todos tus correos, a Internet… Perfecto para montar una botnet o para robar tus cuentas.
Incluso hay un esceneario peor: una actualización de una aplicación de sistema que tenga todos los permisos posibles. El atacante tendría acceso ilimitado a tu sistema mientras tú piensas que has instalado una actualización inocente para mejorar algún ajuste del móvil.

Que hacer al respecto: Este fallo afecta a cualquier tipo de aplicación de Android. ¿Cómo puede hacerte llegar el atacante esa aplicación modificada.?  Para que te llegasen estas aplicaciones maliciosas a través de una actualización de Google Play, los hackers se tendrían que meter en los servidores de Google, y enviar la actualización manualmente. Este sistema es muy dificil, ya que está bien protegido, por ello Google Play es seguro. Por lo que la única forma que les queda es instalado desde origenes desconocidos, descargándolas de otros mercados con menos controles y seguridad, o simplemente haciendo un clic en una página web que descargue el APK.

Este fallo se notificó a Google y demás fabricantes en febrero, pero sólo Samsung ha podido preparar un parche para su S4. Como afecta a casi todos los teléfonos desde Android 1.6, y teniendo en cuenta el ritmo de actualizaciones de Android, un buen número de teléfonos se van a quedar con él para siempre. Muchos usuarios poco experimentados pueden caer en la trampa de confiar en estas actualizaciones, ya que pueden parecer totalmente legítimas y no resultar tan extrañas como un juego de pinball que pide acceso a tus SMS. Incluso podrían caer usuarios más avanzados: con distribuir enlaces de “Nueva versión filtrada de Gmail para Android” valdría para infectar un buen número de teléfonos de gente que conoce perfectamente el sistema.

Aviso Importante, Google I/O 2013

Esta semana hablamos de el evento anual para desarrolladores de Google ha sido sin duda protagonista estos días, y durante esos tres días de conferencias hemos tenido la oportunidad de descubrir mejoras y novedades en varias de las plataformas de este gigante. Y eso, a pesar de que no se presentaron nuevos dispositivos hardware de la familia Nexus, aunque sí se alivió esa pequeña decepción con la llegada de una variante del Samsung Galaxy S4 que es posible adquirir con Android puro y bootloader desbloqueado. Pero hubo mucho más en Google I/O 2013.

La llegada de Hangouts, el servicio de mensajería instantánea que unifica anteriores esfuerzos, el radical rediseño de Google+, la revisión de los clientes de Google Maps para Android e iOS (aunque no llegará a nuestras pantallas hasta dentro de unas semanas) o la presentación de Google Play Music All Access como competidor para Spotify, Rdio o Pandora fueron algunas de esas novedades destacadas.

A las cuales, por supuesto, se sumaron las dedicadas exclusivamente a desarrolladores, que durante la conferencia inaugural ovacionaron la presentación de Android Studio, un nuevo IDE para los desarrolladores de la plataforma que se une a un buen montón de mejoras en Google Play Services. Un evento que difícilmente defraudó, y que se cerró con una singular participación final de Larry Page, co-fundador de la empresa.

Nada se habló de una nueva Nexus 7 ni de la versión LTE o blanca del Nexus 4, tampoco de Google Glass ni del hipotético SmartWatch de Google; y lo único que vimos, el Samsung Galaxy S4 Google Edition, nos genera unas sensaciones que mejor debemos analizar en frío.

¿Una versión nueva de un dispositivo sólo por cambiar de ROM? Ya conocemos el gusto de Samsung por los refritos, pero en este caso está auspiciado por Google, así que la culpa no es sólo de los coreanos. Sin embargo, y aunque las culpas sean repartidas, lo que cuesta entender es el lanzar una versión de un dispositivo con cero cambios en el hardware y que sólo varía en la parte software y en el soporte de actualizaciones.

Nos parece mejor la opción de Sony con el soporte AOSP para su Xperia Z, aunque evidentemente hay un cambio fundamental, y es que en el caso de Sony será el propio fabricante el que se soporte, mientras que en el Galaxy S4 Google Edition quien se encargue de sus actualizaciones será Google.
Y ahora bien, siguiendo con las argumentaciones, no hay cabida para un dispositivo nuevo sólo diferenciado por quien lo actualiza y qué ROM lleva instalada, sobre todo sabiendo que cambiar de ROM es un proceso relativamente sencillo, y los actuales poseedores de un Galaxy S4 acabarán antes o después pudiendo instalar la ROM de la versión AOSP, y viceversa, ya que el terminal es esencialmente el mismo.

Por último Google Play Games anunciado oficialmente y ya disponible...


Google acaba de anunciar Google Play Games, su centro social de juegos para competir contra el Game Center de Apple y el Xbox Live de Microsft. Este nuevo servicio de juegos viene integrado en la nueva versión de Google Play Services y es multiplataforma, está disponible para juegos de Android, iOS y navegador.

Como apuntaban las últimas filtraciones, Google Play Game Services permitirá a los desarrolladores de videojuegos implementar fácilmente en sus juegos para Android los logros, clasificaciones, partidas multijugador y partidas en la nube para la sincronización entre los dispositivos.

Google Play Games requiere que tengamos cuenta en Google+, ya que se basará en nuestros círculos para invitar a nuestros amigos para jugar online o para ver sus puntuaciones. Este nuevo servicio ya se encuentra disponible para cualquier dispositivo con Android 2.2 o superior, tan sólo hay que tener actualizado Google Play Services y tener ya instalado algún juego compatible, como World of Goo, Super Stickman Golf 2, Beach Buggy Blitz, Eternity Warriors 2, o Osmos.

Y el aviso importante es que como entramos en periodo de exámenes, dejaremos de publicar hasy el 13 de junio a excepción de los artículos de los lunes.

AirDroid 2, Mas funcionalidades de las que parece

AirDroid es una de las aplicaciones mas útiles y sencillas para controlar nuestro dispositivo Android a distancia. Aunque puede sonar algo exagerado, en realidad hay muchas posibilidades, a cada cual mas útil, desde ver nuestros mensajes, hasta gestionar nuestras apps. Después de un periodo de beta, por fin podemos disfrutar de la segunda versión del programa. Para los que no lo conozcan, AirDroid es una app que podemos instalar en nuestro dispositivo Android, con la que podemos controlarlo a través de una página web. La ventaja de usar una web en vez de una aplicación nativa de escritorio es que de esta manera podemos acceder prácticamente desde cualquier sitio con acceso a Internet. ¿Te han robado el móvil? Solo tienes que conseguir un PC con Internet y podrás acceder al GPS y averiguar dónde está. Es tremendamente útil, por lo que no es de extrañar que la compañía tenga que establecer ciertos límites de datos (hasta 1 GB) para aliviar sus servidores.

El método de instalación también es sencillo. La primera vez que se usa es necesario que el smartphone se encuentre en la misma red que nuestro ordenador, y a partir de ahí podremos crear una cuenta de AirDroid que podremos asociar con una cuenta social como la de Twitter, o Facebook. Una vez terminada la configuración (que no es muy distinta de la que ya hemos hablado), tenemos varias opciones, desde instalar aplicaciones en paquetes apk, hasta acceder a los datos guardados en nuestro móvil sin necesidad de cables o usar la cámara para “espiar”.

Link para descargar: AirDroid 

Aclaración de conceptos Baterias y Redimiento

En esta entrada hablaremos acerca de como afectan las baterías al rendimiento...El tamaño importa: Por un lado  al aumentar la superficie de pantalla, forzosamente debe estar aumentando el tamaño de las baterías, lo que nos está ofreciendo mejor rendimiento en cada ocasión a costa de embutir enormes baterías en los dispositivos. Pero parten de una base errónea. Se están pudiendo empotrar baterías de mayor capacidad, pero se está haciendo a costa de mejorar las dimensiones de estas, no de meter baterías más grandes. No hay más que fijarse precisamente en las dimensiones de los teléfonos, porque parece que nos hemos olvidado que las placas base mantienen el grosor, las pantallas prácticamente también y sin embargo no ha parado de reducirse el grosor de los teléfonos, cada vez son más finos, y eso tiene que salir de algún lado. Es decir, que tenemos baterías un poco más grandes en superficie que, a cambio, son bastante más estrechas, así que en este aspecto salimos más o menos igual que estábamos, no se avanza demasiado.

No obstante, sí que han acertado en una cosa y es que la actual tasa de evolución, de prácticamente duplicar la potencia anualmente es insostenible a largo plazo debido precisamente a los límites físicos de los materiales, no a los de las baterías. Imaginemos por un momento que seguimos aumentando la capacidad de las baterías de forma que esto no es un obstáculo de cara a utilizar las mejoras tecnológicas que nos ofrecen los procesadores, ¿en qué se basan esas mejoras? Por un lado se basan en el escalado de los componentes, es decir, usamos transistores más y más pequeños para fabricar los procesadores, lo que en la práctica nos permite crear, en el mismo espacio que el año pasado metíamos un millón de transistores, crear este año un procesador en el que quepan 1,5 o 2; por el otro lo que tenemos es un aumento de las velocidades de procesamiento, que dependen de la frecuencia de oscilación de los relojes internos de los procesadores y de la velocidad de sus buses de entrada y salida.  Así que sabemos que la potencia puede seguir aumentando, pero poco a poco, a costa de mejoras en escalado, en velocidad y por supuesto, el uso de nuevos materiales, que permiten un rendimiento optimizado.

Como siempre cualquier duda o sugerencia en los comentarios. Esperamos que os haya gustado.