Vivimos en la era de la imagen. Extraño resulta el día en que no descargamos o compartimos una foto con nuestros amigos o familiares.

Los que no tienen buenas intenciones son conscientes de ello. Saben que las imágenes pululan de un sitio a otro, por lo que pueden ser un perfecto caballo de Troya para expandir elementos indeseados. De hecho, de no ser por Axelle Apvrille y Ange Albertini, más de uno y más de dos ya lo habrían intentado. Estos investigadores han sido los encargados de descubrir que en las murallas defensivas del sistema operativo móvil de Google existía un resquicio por el cual las imágenes podían convertirse en el envoltorio de software malicioso.

teléfono-android

En la última edición de la Black Hat Europe celebrada en Amsterdam, estos expertos en ciberseguridad presentaron su trabajo sobre esta vulnerabilidad de Android. Debido a este fallo, los ciberdelincuentes podían llegar al smartphone o la tableta de un usuario cualquiera a través de una instantánea que, al descargarse, se convertía en un fichero infectado que acababa por contaminar el dispositivo.

Como reconocían Apvrille y Albertini, la carga maliciosa se podía ocultar en cualquier imagen. Tanto si era un .png como un .jpg, aquello que a los ojos de cualquiera no dejaba de ser el retrato de una persona, encubría un código que acababa por romper el envoltorio que era la instantánea y sacar de su interior algún malware.

Para demostrar que esta vulnerabilidad existía crearon una herramienta llamada AngeCryption, que les permitía convertir las imágenes en paquetes. Gracias a ella, podían ocultar en las fotos aquello que quisieran transmitir de un dispositivo a otro sin que los sistemas de seguridad ni el propio escáner de Google se percatasen de su existencia. Así, tras una imagen totalmente inofensiva, podía viajar un .apk, el tipo de archivo ejecutable que permite instalar una aplicación.

foto-teléfono

En la demostración, ocultaron en una imagen de Darth Vader una app maliciosa diseñada para robar fotos, mensajes y otros datos de aquellos dispositivos en los que fuera descargada.

Imagina que alguno de tus contactos te manda esa imagen a través de WhatsApp, tú la descargas para verla y, sin que te des cuenta, en tu smartphone se instala una app capaz de rastrear y sustraer aquello que hay en tu móvil. Pues eso es exactamente lo que permitía la vulnerabilidad descubierta.

“Este tipo de ataque es muy probable que pase inadvertido, debido a que el paquete de Android que sirve de envoltorio apenas tiene nada sospechoso”, aseguraban Apvrille y Albertini. Además, advertían de que esta vulnerabilidad estaba presente en todas las versiones de Android hasta la fecha.

La existencia de este agujero de seguridad se mantuvo en silencio hasta que estos investigadores informaron a Google y su equipo de seguridad intervino para subsanarlo. ¿Estás entonces a salvo? Sí, pero solo si actualizas el sistema operativo de tu smartphone o tableta. Si se te olvida, aún estás expuesto a llevarte algún que otro susto.

Dos consejos:

  • Mucho cuidado con las fotos de desconocidos
  • Instala cada actualización que Google mande a tu dispositivo.

Además, por aquello de que más vale prevenir que curar, instala nuestro antivirus para Android. No te la juegues con sustos innecesarios.