La plataforma móvil creada por la compañía Google se encuentra afectada por una nueva clase de vulnerabilidad, la cual se cree está afectando aproximadamente a mil millones de dispositivos Android.

De acuerdo a una publicación realizada por investigadores de la Universidad de Indiana y por la comañía Microsoft, la vulnerabilidad fue llamada Pileup, que significa "elevación de privilegios mediante actualización". Dicha vulnerabilidad se oculta dentro del servicio de administración de paquetes de Android (PMS por sus siglas en inglés) e incrementa los permisos ofrecidos a las aplicaciones maliciosas cuando una actualización se lleva a cabo, sin informar al usuario al respecto.

"Cada pocos meses, una actualización es liberada, reemplazando y agregando decenas de miles de archivos al sistema en producción. Cada nueva aplicación instalada necesita ser configurada de forma cuidadosa para establecer los atributos dentro de los entornos de pruebas (Sandbox), así como los privilegios en el sistema, sin dañar accidentalmente otras aplicaciones y manteniendo los datos del usuario", dijeron los investigadores. "Estas complicaciones lógicas en la programación de la instalación de actualizaciones hacen susceptible a los dispositivos a fallas críticas de seguridad".

Según los investigadores, "un atacante puede reclamar mediante las aplicaciones en ejecución en versiones anteriores de Android, privilegios o atributos que se encuentren disponibles en las versiones recientes del sistema operativo."

Se han descubierto seis vulnerabilidades diferentes dentro del PMS. De acuerdo a los investigadores, están presentes en todas las visiones del proyecto de código abierto de Android, incluyendo las 3522 versiones de código fuente personalizadas por los fabricantes y los prestadores de servicios.

"Las propiedades o atributos que terceras partes personalizan, que llevan la condición de sistemas de compañías conjuntas, pueden elevarse durante una actualización para convertirse en características del sistema, donde todas las aplicaciones son instaladas o reinstaladas y las configuraciones se reinician", mencionaron los investigadores en el artículo. "Asímismo, al fusionar dos aplicaciones de los sistemas reciente y antiguo, puede existir un riesgo de seguridad si el original se modifica para actuar de forma maliciosa".

El equipo de investigadores comenta haber reportado sus hallazgos a Google, quien señaló que una de las seis vulnerabilidades ha sido corregida.