Seleccionar página

La seguridad de las actualizaciones de aplicaciones de Android depende de la confidencialidad de la clave de firma de una aplicación determinada. Así es como las actualizaciones de aplicaciones se verifican como seguras y, si caen en las manos equivocadas, se pueden distribuir actualizaciones falsas que contengan cambios nefastos. Como resultado, los desarrolladores suelen proteger las claves de firma muy de cerca, pero alguien en Facebook se equivocó seriamente . Una clave utilizada por la empresa para firmar digitalmente su aplicación Free Basics by Facebook se ha visto comprometida, y se han detectado en línea aplicaciones de terceros que reutilizan la clave.

Después de que el propietario de APK Mirror y Android Police, Artem Russakovskii, descubriera el problema y lo informara a Facebook, la lista de aplicaciones original se extrajo de Play Store y se reemplazó con una nueva aplicación con una nueva clave de firma. Desde entonces, la empresa no ha divulgado públicamente a sus usuarios la naturaleza de la clave comprometida o el motivo preciso por el que se volvió a lanzar la aplicación, lo que los pone en riesgo si aún tienen instalada la versión anterior. Antes de que se eliminara la lista, la aplicación Free Basics by Facebook original tenía más de cinco millones de descargas en Play Store.

ANDROIDPOLICE VÍDEO DEL DÍA

¿Qué sucedió?

El sitio hermano de Android Police, APK Mirror, aloja aplicaciones de Android para descargar. Lo hacemos por varias razones: para eludir la censura, para que los entusiastas puedan descargar actualizaciones antes de que se implementen ampliamente, para mitigar las restricciones geográficas y para proporcionar un archivo histórico para comparar y facilitar la reversión de actualizaciones, entre otras razones. Estamos especialmente preocupados por la seguridad, dado lo peligroso que puede ser descargar aplicaciones de fuentes de terceros, por lo que hacemos todo lo posible para revisar y examinar manualmente cada APK que llega al sitio.

En el último mes, detectamos aplicaciones de terceros que usaban una clave de firma de depuración que coincidía con la clave utilizada por Facebook para su aplicación de Android Free Basics. (Aparte, usar una clave de "depuración" en producción tampoco es una buena práctica para los desarrolladores, y mucho menos para el alcance y la estatura de Facebook).

Notificamos a Facebook sobre la clave filtrada a principios de este mes, y la empresa la verificó, comprometiéndose a abordar el problema en una nueva versión de la aplicación, que según la empresa ha instado a los usuarios a actualizarse desde dentro de la aplicación anterior. Según los detalles que nos proporcionó Facebook, la razón precisa por la que los clientes necesitan actualizar no se incluye en ese mensaje y no ha publicado detalles al respecto en ningún otro lugar.

Desde entonces, la lista de la aplicación Free Basics by Facebook se extrajo de Play Store y se reemplazó con una nueva lista que utiliza una nueva clave de firma de la aplicación. No estamos seguros de cuándo se eliminó la aplicación de la lista, ya que la última copia de seguridad de Internet Archive de la lista fue en julio y la aplicación de reemplazo aterrizó el 14 de agosto. Facebook afirma que lanzó una nueva versión de la aplicación dentro de las 24 horas posteriores al informe de Russakovskii. APK Mirror tampoco acepta cargas que usan la clave comprometida.

Detalles técnicos: cómo funcionan las claves de firma

APK Mirror puede proporcionar a las personas aplicaciones de forma segura porque las aplicaciones de Android están firmadas digitalmente por sus desarrolladores, lo que les otorga una firma criptográfica que verifica que el paquete es legítimo, independientemente de su fuente. Por supuesto, esa seguridad depende completamente de que los desarrolladores mantengan en secreto la clave de firma de su aplicación; si está disponible públicamente, cualquiera puede firmar una aplicación que dice ser una actualización de su aplicación, y los teléfonos de los consumidores se instalarán felizmente sobre la aplicación real. Por lo tanto, perder o filtrar una clave de firma es un gran problema.

Para facilitar un poco las cosas a los desarrolladores, Google inició un servicio que permite a los desarrolladores almacenar claves de firma de aplicaciones en sus servidores. La "Firma de aplicaciones de Google Play", como se llama, significa que las claves de la aplicación nunca se pueden perder y las claves comprometidas se pueden "actualizar" a nuevas claves. Sin embargo, no todos los desarrolladores aprovechan este nuevo servicio. Si sigue la recomendación de Google y destruye su copia local de la clave después de migrar, ya no podrá distribuir aplicaciones con una sola clave fuera de Play Store. En muchos casos, es más sencillo para los desarrolladores que apuntan a múltiples vías de distribución de aplicaciones administrar las claves de firma ellos mismos. (Android 9 Pie también admite una nueva función de "rotación de claves" que verifica de forma segura un linaje de firmas en caso de que necesite cambiarlas, pero pasará un tiempo antes de que todos los teléfonos la admitan).

Si las claves de firma caen en las manos equivocadas, los terceros pueden distribuir versiones modificadas maliciosamente de la aplicación como actualizaciones en lugares fuera de Play Store y potencialmente engañar a sitios similares a APK Mirror que dependen de la verificación de firmas. Alguien puede cargar fácilmente una aplicación falsa que parece que fue creada por Facebook en un foro o engañar a los sitios de distribución de APK menos cautelosos para que la publiquen en función de la firma verificada de la aplicación. Los clientes que se adhieren a fuentes oficiales como Play Store deberían estar seguros, pero las personas acostumbradas a descargar aplicaciones o a las que se les pide que sigan pasos que no entienden completamente están en riesgo.

Además, tenga en cuenta que cualquier actualización de la aplicación Free Basics más antigua proporcionada por Play Store aún requeriría las credenciales de una cuenta asociada con la Consola de desarrollador de la aplicación, por lo que no tendría que preocuparse por descargar versiones cargadas de malware de Google (ahora desaparecida) de la aplicación comprometida.

Ya hemos detectado aplicaciones de terceros que utilizan los conceptos básicos gratuitos de la firma de Facebook que se distribuyen de forma salvaje, por lo que el "exploit" efectivo que presenta la clave de seguridad comprometida se está utilizando activamente. Aunque le proporcionamos a Facebook evidencia sobre estas aplicaciones de terceros que usan la clave de firma de Free Basics, la compañía sostiene que "no ha visto evidencia de abuso". Aparentemente, el uso de terceros de la clave de firma de una aplicación no constituye un abuso en la mente de Facebook, aunque personalmente consideramos que cualquier reutilización de la clave filtrada implica una intención deliberada y potencialmente maliciosa.

Nueva aplicación, ¿quién es?

Para solucionar el problema, Facebook tuvo que lanzar una nueva aplicación en Play Store con una nueva ID de aplicación, cambiando efectivamente el "nombre" de cara al sistema de la aplicación, así como su clave de firma. Facebook nos dice que la aplicación se volvió a lanzar con la nueva clave dentro de las veinticuatro horas posteriores al informe de Russakovskii, aunque los registros de Play Store indican que se actualizó por última vez el 14 de agosto, cinco días después de que la compañía respondiera a sus informes sobre el clave filtrada. La lista de aplicaciones anterior informó más de cinco millones de instalaciones, mientras que la versión actualizada con la clave segura cuenta con menos de 50,000, ya sea que muchas personas dejaron de usar la aplicación o la mayoría de las personas aún no se actualizaron a la nueva versión.

3 Imágenes

Conceptos básicos gratuitos de Facebook

La aplicación Free Basics by Facebook probablemente no fue utilizada por la mayoría de nuestros lectores, estaba destinada a clientes con datos limitados o prohibitivamente costosos en países en desarrollo. Es posible que recuerde la indignación por la neutralidad de la red con respecto a la aplicación, que proporcionó acceso a un puñado de servicios a través de datos de calificación cero, ya que empujó a esos mismos usuarios al ecosistema de Facebook. La aplicación finalmente se prohibió en India por esas preocupaciones de neutralidad de la red, y ha estado saliendo silenciosamente de otros mercados en los últimos años. También hubo acusaciones de la ONU de que Facebook podría haber incitado al genocidio en Myanmar antes de desconectar el servicio Free Basics en ese país.

Desafortunadamente, el hecho de que esta aplicación sirvió a aquellos en mercados emergentes hace que este problema sea aún peor, desde nuestra perspectiva. Es menos probable que las personas que recién se conectan comprendan las implicaciones de seguridad de instalar aplicaciones de fuentes desconocidas en dispositivos Android. Un enlace que afirme proporcionar un juego descifrado o medios gratuitos podría apuntar fácilmente a malware con títulos y firmas oportunistas. Con el nombre del paquete, el ícono y la firma de la aplicación correctos, ni siquiera sabrían qué aplicación desinstalar si no estuvieran prestando atención. Las listas de foros que aparentemente anuncian una aplicación de YouTube sin publicidad descifrada podrían instalar una actualización maliciosa además de Free Basics de Facebook. La aplicación cargada de malware podría potencialmente leer los datos de la aplicación existente y registrar la entrada de información o enviarla.

Al igual que cualquier aplicación de carga lateral distribuida fuera de Play Store, también podría aprovechar cualquier debilidad de la plataforma que presenten los teléfonos más antiguos que a menudo se usan en los mercados emergentes, y la aplicación Free Basics admite y apunta a software tan antiguo como Android 4.2 Jelly Bean. Por sí misma, la clave de seguridad filtrada no significa que todos los teléfonos que ejecutan la versión anterior de la aplicación Free Basics by Facebook se vean comprometidos de inmediato, pero es un detalle complicado que permite una vía adicional para posibles problemas de seguridad.

La lista de Play Store de la nueva aplicación.

Aparentemente, la aplicación anterior les dice a los usuarios que cambien a la nueva versión, pero no podemos encontrar la declaración específica que se les proporciona a los clientes. Un portavoz nos dijo que a los usuarios simplemente se les notificó el requisito de actualizar la aplicación anterior. Tampoco podemos verificar la aplicación anterior o el mensaje específico enviado a los clientes, ya que no parece funcionar fuera de mercados específicos (incluso con una VPN, lo intentamos). Se ignoraron las solicitudes del mensaje específico proporcionado a los clientes por Facebook. Sin embargo, la nueva lista de aplicaciones en Play Store no menciona que la seguridad de la aplicación anterior se ha visto comprometida por la clave de firma filtrada, y no podemos encontrar ninguna revelación sobre cómo esta filtración afecta la seguridad del usuario en ninguna parte del sitio de Facebook o el sitio internet.org (aparentemente el esfuerzo de colaboración detrás de la aplicación Free Basics).

Por lo que podemos decir, Facebook no ha hecho un anuncio público específicamente sobre la seguridad de la aplicación anterior y el hecho de que la clave de firma se ha visto comprometida, aunque la información sobre la clave de firma ha sido pública durante semanas y las aplicaciones la utilizan. se han distribuido durante al menos el mismo tiempo.

Cuando se le solicitó una declaración, un portavoz de la compañía nos proporcionó lo siguiente:

Se nos notificó sobre un posible problema de seguridad que podría haber engañado a las personas para que instalaran una actualización maliciosa en su aplicación Free Basics para Android si elegían usar fuentes no confiables. No hemos visto evidencia de abuso y hemos solucionado el problema en la última versión de la aplicación.

Las respuestas proporcionadas por el portavoz a las preguntas de seguimiento sobre cómo se pudo haber filtrado la clave de seguridad de la aplicación no ofrecieron una explicación, aunque nos dijeron que la aplicación no debería estar preinstalada en ningún teléfono con Android, o al menos la empresa no. No "apoyar" esa práctica. Las preguntas sobre cómo la compañía planeaba revelar la falla de seguridad de la aplicación a los usuarios fueron esquivadas, y el portavoz nos dijo que la compañía simplemente exigía a los usuarios que actualizaran a la última versión.

No está claro si Facebook planea explicar directamente a los usuarios actuales de Free Basics que su polémica aplicación que desafía la neutralidad de la red también constituía un riesgo de seguridad. La compañía es conocida por su enfoque laxo con respecto a la seguridad en estos días, pero al menos consideró oportuno notificar a los clientes y al público en general sobre los detalles en esos casos.

Alentamos a cualquier persona que use Free Basics de Facebook a desinstalar la versión anterior de la aplicación y migrar a la nueva versión lo antes posible. Si bien nada en la aplicación anterior está intrínsecamente comprometido, podría usarse como un vector para la entrega de actualizaciones fraudulentas a través de la carga lateral, especialmente entre los consumidores menos técnicos que no están familiarizados con las mejores prácticas de seguridad y que están acostumbrados a descargar aplicaciones de fuentes de terceros, como los en los mercados emergentes a los que se dirige explícitamente la aplicación.

Video: