Este hallazgo fue presentado por Maddie Stone, ex-empleada de Android Security y actual miembro del equipo Google Project Zero.

Durante su presentación, Stone aclaró que es casi imposible proteger nuestros dispositivos de este riesgo ya que, para obtener acceso remoto a un smartphone o incluso comprometerlo de forma completa, sólo se necesita comprometer o reemplazar 1 de las 300-400 aplicaciones que habitualmente son pre-instaladas en los smartphones por los respectivos fabricantes.

El sistema operativo mayormente afectado es el sabor de código abierto de Android (AOSP), ya que en el afán de lanzar un smartphone económico o para mercados emergentes, muchas de las aplicaciones creadas para una versión de AOSP específica no son auditadas o testeadas en busca de posibles vulnerabilidades o fallos críticos de seguridad. Citando algunos ejemplos, como Chamois (la botnet de fraude con SMS y clicks mas grande de la que nadie escuchó la cual cubriremos en otro artículo), Stone puso al descubierto que desde 2016 hasta ahora más de 200 fabricantes han:

  • permitido en sus dispositivos aplicaciones de diagnostico con puertas traseras para acceso remoto.
  • modificado el código operativo (framework) de Android para registrar todas las acciones realizadas, como si fuera un spyware.
  • instalado aplicaciones cuyo código fuente fue diseñado para sortear la seguridad provista por Google Play Protect (GPP).

También admitió que es más díficil detectar y mitigar los riesgos de aplicaciones de procedencia cuestionable por cada fabricante que hacerlo en Google Play Store, debido a 2 motivos principales:

1) La cadena de suministro OEM de los fabricantes: al no tener control sobre esta cadena, los fabricantes son más proclives a incorporar apps "legítimas" que, en realidad, enmascaran vulnerabilidades explotables o, aún peor, código malicioso. Esto es distinto en el caso de fabricantes de smartphones como Apple o Google, ya que tienen control sobre toda la cadena de suministro.

2) Para que la detección de posibles fallos de seguridad sea más efectiva debe realizarse a un nivel más profundo que el que el proveen las aplicaciones de seguridad tradicionales (anti-malware, EDR, etc.).

Finalmente, Stone pidió a los fabricantes que investiguen más a fondo e inviertan en las capas de seguridad en las cadenas de suministro y refuercen las auditorías y escaneos de código de las aplicaciones que incorporan a la versión de Android de sus productos.

Fuente: BlackHat USA 2019