Se ha detectado que la Google Play Store es vulnerable a la ejecución
de código de forma remota, permitiendo que terceras personas puedan instalar en
los equipos de los usuarios aplicaciones malware sin que este sea consciente y
mientras cree que está instalando una aplicación legítima.
En un principio se creía que la vulnerabilidad en Play Store
solo afectaba a los usuarios de dispositivos Android, sin embargo, la amenaza
se ha extendido también a aquellos usuarios que accedan a la tienda de
aplicaciones Play Store haciendo uso de alguno de los navegadores de
escritorio, permitiendo de igual forma un ataque XSS o UXSS. Para ser más
exactos, en lo referido a dispositivos Android están afectados todos aquellos
que posean una versión JellyBean o inferior, quedando demostrado que las más
actuales no están afectadas.
Pasando a hablar del fallo de seguridad, está centrado en la
falta de seguridad en las opciones XFO, es decir, aprovechando la capacidad que
poseen algunas páginas de cargarse o cargar parte de sus elementos en un marco
para enviar al usuario el archivo malicioso y que finalmente este se instale
junto con el contenido legítimo sin tener que pasar por la Google Play Store.
La falta de actualizaciones, de nuevo un problema para los
usuarios
- Aunque no es muy frecuente, el número de usuarios hacen uso de la tienda de aplicaciones Play Store desde dispositivos de sobremesa es ínfimo, centrándose un gran porcentaje de los usuarios afectados en el sistema operativo Android, cifra que está muy lejos de reducir ya que como es sabido la política de actualizaciones de los dispositivos que utilizan el sistema operativo de los de Mountain View provoca que muchos de ellos ya no se encuentren dentro de la hoja de rutas de la compañía, y por lo tanto no verán solucionados ni este fallo ni otros que aparezcan con posterioridad, y a pesar de que no lo habíamos indicado como tal, el fallo de seguridad se encuentra situado tanto en el extremo perteneciente al servidor como en el lado del cliente.
- Esto quiere decir que si no es esta vulnerabilidad los ciberdelincuentes podrían hacer uso de la misma pero presente en otro servicio o página web.
- Por lo tanto, las versiones 4.4 y posteriores se encuentran libres de este fallo de seguridad.