El equipo de Seguridad de BlueBox, ha descubierto recientemente una vulnerabilidad que ataca al 99% de los dispositivos Android que permite a un hacker modificar el código APK sin romper firma criptográfica de la aplicación, para convertirla en legítima y que es totalmente desapercibida por la tienda de aplicaciones, el teléfono o el usuario final.

Ésta vulnerabilidad ataca desde los primeros dispositivos con Android 1.6, todas las aplicaciones tienen una firma criptográfica que, en principio, evita que se modifique el código APK de una app. La vulnerabilidad que ha descubierto Bluebox permite cambiar el código sin afectar a esta firma gracias a “discrepancias en cómo las aplicaciones Android son verificadas e instaladas”. Es decir, Android no se dará cuenta de que el programa ha sido modificado.

Es por ello que se recomienda instalar y actualizar únicamente las  aplicaciones desde la Play Store  ya que modificar el codigo de una apk desde la tienda de Google es más difícil porque se debería tomar el control de una cuenta de desarrollador, pero esto es fácilmente detectable.  Además deberemos, para estar más seguros, configurar nuestro dispositivo para que solo acepte apps y actualizaciones de la tienda oficial. Para ello, nos vamos a Ajustes, Seguridad, y desmarcamos la opción “Fuentes/orígenes desconocidos”.