Investigadores de seguridad han descubierto una nueva fuente de fallos de seguridad en Android. Esta vez, el problema afecta a la funcionalidad multitarea del sistema operativo móvil más que al manejo de los mensajes multimedia, una de las vulnerabilidades recientes más importantes, incluyendo la falla Stagefright.

La última vulnerabilidad abre la puerta a una gran variedad de amenazas, entre ellas la suplantación del usuario, monitoreo, comportamiento y aplicación de ataques de denegación de servicio. "Los ataques habilitados pueden afectar a todas las últimas versiones de Android y todas las aplicaciones (incluyendo las aplicaciones más privilegiadas) instaladas en el sistema", advirtió Chuangang Ren, un investigador de seguridad de la Universidad de Penn State. 

Un documento sobre la vulnerabilidad (PDF), presentado en la XV conferencia de Seguridad USENIX en Washington DC la semana pasada, explicó el tema con mayor profundidad.

La funcionalidad multitareas de Android ofrece características avanzadas para mejorar la experiencia del usuario y una gran flexibilidad para los desarrolladores de aplicaciones para promover la personalización. Sin embargo, las implicaciones de seguridad del multitarea de Android siguen sin recibir la atención necesaria.

Con un estudio sistemático de la dinámica de tareas complejas encontramos defectos de diseño del multitareas de Android que hacen a todas las versiones recientes de Android vulnerables a los ataques de secuestro de tareas. Demostramos en una prueba de concepto ejemplos que utilizan la superficie de ataque de secuestro de tareas para implementar la suplantación de la interfaz de usuario, denegación de servicio y monitoreo de los usuarios. Los atacantes pueden robar las credenciales de inicio de sesión, implementar ransomware y espiar a las actividades de los usuarios.

Hemos recogido y analizado más de 6,8 millones de aplicaciones de diversos mercados de Android. Nuestro análisis muestra que el riesgo de secuestro tarea es prevalente. Dado que muchas aplicaciones dependen del diseño multitarea actual, eliminar el secuestro de tareas no es fácil.

Los cinco investigadores Chuangang Ren y Peng Liu, ambos de la Universidad Estatal de Pennsylvania, y Yulong Zhang, Hui Xue y Tao Wei, de FireEye, han notificado al equipo de Android sobre las conclusiones de su investigación. En un documento de 16 páginas se esboza el riesgo con mayor profundidad, así como las posibles técnicas de mitigación.

Una visión rápida de la vulnerabilidad se puede encontrar en el siguiente video.