Una nueva vulnerabilidad en Android permite que un atacante pueda usar un PNG para acceder a privilegios en un teléfono | Fuente: RPP

Siempre que escucho la frase “Android es la nueva Windows”, siempre pienso en virus y código malicioso que infecta dispositivos con facilidad. En este caso, el sistema operativo de Google ha anunciado en su último boletín de seguridad para febrero que hay una falla crítica en el sistema, con la que un usuario puede infectar o atacar un equipo con Android con solo abrir una foto en PNG, tal y como hace cualquier usuario que recibe una foto de este formato en WhatsApp, un correo electrónico o hasta un vínculo desde la nube.

De acuerdo con Google, este proceso no requiere que el usuario atacado descargue un instalador (APK es el tipo de archivo instalador de Android, tal como los clásicos EXE de Windows), una app de tienda o cualquier otro elemento dentro del smartphone. Basta con descargar la foto y abrirla, para que se active esta vulnerabilidad o exploit, que le otorga al delincuente un acceso casi completo al núcleo del sistema. Para que este método funcione, el PNG enviado debe tener data adjunta que, al abrir la foto, ejecute un código arbitrario con el que el atacante logra tener acceso.

Esta vulnerabilidad ha sido exhibida en el reciente reporte de Google, y menciona casos presentados en procesadores Qualcomm y tarjetas gráficas Nvidia. Incluso hay núcleos de sistema expuestos con este método, el que ya ha sido enviado a los partners de Google para revisión y solución mediante un parche de seguridad. Afortunadamente, los desarrolladores de Android mencionaron en el reporte que no hay informes sobre ataques aprovechando este exploit.

Para evitar que tu dispositivo pueda mantenerse vulnerable tras este hallazgo, debes actualizar la versión de Android en tu smartphone o Tablet, ingresando a Configuración / Acerca del Teléfono y buscar la opción de “actualizar el sistema”. De estar disponible, te recomendamos forzar la opción “descargar el último paquete completo” en las opciones de actualización.

¿Qué opinas?