A pesar de que Android a evolucionado mucho en materia de seguridad en su última versión; como cualquier sistema operativo, no está libre de errores o de huecos de seguridad, y siempre hay equipos de desarrolladores, expertos en seguridad o incluso aficionados, que descubren formas de romper las barreras que el sistema ofrece contra atacantes.
Esta semana un grupo de investigadores de la universidad de Texas publicaron un video en el que demuestran un fallo de seguridad que afecta a todos los teléfonos que tengan instalado Android Lollipop 5.0 a 5.1.1 con una pantalla de bloqueo que se libera con contraseña.
El atacante puede acceder al teléfono sin conocer la contraseña básicamente ingresando una cadena de texto tan enorme que sobrecarga la aplicación y provoca un cierre forzado de ella, dejando expuesto el home screen. El método en todo caso no es nada sencillo de llevar a cabo, pues el atacante debe abrir el teclado para realizar una llamada de emergencia y marcar muchos números al azar, luego copiarlos y pegarlos repetidamente creando una cadena de números cada vez más larga hasta conseguir una lo suficientemente extensa, lo cual le toma al experto del video un par de minutos.
Luego de armar la cadena, el atacante debe regresar a la pantalla de bloqueo principal y pegarla en el campo de la contraseña, lo cual con suerte, va a ocasionar que la aplicación se reviente y exponga primeramente la App de la cámara y posteriormente el Home.
Las buenas noticias es que este fallo de seguridad afecta únicamente el modo de bloqueo con contraseña, por lo cual basta con pasarse a un modo de bloqueo con PIN o patrón, para no quedar expuesto a este problema. En el blog oficial de Google, se informó que ya se tiene listo un parche de seguridad para cerrar este hueco, que estaría llegando primeramente a los equipos Nexus y GPE en forma de OTA. Los dueños de equipos de otros fabricantes, como es usual, deberán esperar a que los mismos liberen la actualizaciones especificas para cada modelo.
En un Moto G intenté replicar el fallo, pero no resultó, tal vez porque no tuve la suficiente paciencia para crear una cadena lo suficientemente larga como para saturar la pantalla de bloqueo. Si alguno de ustedes logra replicar el fallo de seguridad, comente que tan complicado o fácil les resultó.