A medida que confiamos más en la tecnología para gestionar aspectos cruciales de nuestras vidas, también aumenta la responsabilidad de proteger esos datos. Recientemente, una vulnerabilidad en Android ha puesto de manifiesto cómo una combinación específica de configuraciones puede convertir nuestros dispositivos en una puerta abierta para la exposición de datos sensibles, como los detalles de nuestras tarjetas de crédito.
-¿Qué es el App pinning en Android?
El App pinning, o fijar pantalla, es una función de Android que permite a los usuarios bloquear una aplicación en la pantalla, evitando así el acceso a otras aplicaciones. Esta función no viene activada por defecto y debe ser habilitada manualmente por el usuario.
Cuando una aplicación está anclada, se convierte en la única que puede interactuar con el usuario, limitando así el acceso a otras aplicaciones y funciones del sistema. Esta característica es especialmente útil en situaciones donde se desea prevenir el uso no autorizado de otras aplicaciones en el dispositivo, como podría ser el caso cuando se le presta el teléfono a un niño para jugar o a un amigo para hacer una llamada.
Para activar el App pinning, los usuarios deben navegar a la sección de Configuración, luego a Seguridad y privacidad, y finalmente a Más configuraciones de seguridad. Aquí encontrarán la opción para habilitar el App pinning. Es importante señalar que esta función no viene activada por defecto en los dispositivos Android, lo que significa que los usuarios deben tomar la iniciativa de habilitarla si desean utilizarla.
Una vez activada, la función ofrece una capa adicional de seguridad al requerir un PIN, patrón o huella dactilar para «desanclar» la aplicación y volver al acceso completo del dispositivo. Esta opción se puede habilitar mediante la configuración ‘Pedir PIN antes de desanclar’, lo que añade un nivel extra de protección contra el uso indebido del dispositivo.
-El Escenario de Riesgo: Configuraciones Específicas
La reciente vulnerabilidad descubierta en Android no es algo que afecte a todos los usuarios por igual. De hecho, se necesita una combinación muy específica de configuraciones para que el riesgo se materialice. Esto significa que el usuario debe haber habilitado una serie de opciones que, aunque pueden parecer inofensivas o incluso beneficiosas por separado, juntas crean un escenario de riesgo.
Primero, el usuario debe tener activada la función de App pinning, como se mencionó anteriormente. Pero eso no es todo; también debe habilitar la opción ‘Pedir PIN antes de desanclar’ dentro de las configuraciones de App pinning. Esta opción requiere que el usuario introduzca un PIN, patrón o huella dactilar para desactivar la aplicación anclada, añadiendo una capa adicional de seguridad.
En segundo lugar, el usuario debe tener activada la función NFC (Near Field Communication) en su dispositivo. El NFC es una tecnología que permite la transferencia de datos a corta distancia entre dispositivos compatibles. En el contexto de esta vulnerabilidad, es crucial que el usuario también haya habilitado la opción «Requerir desbloqueo del dispositivo para NFC» dentro de las preferencias de conexión del dispositivo.
Finalmente, el usuario debe tener una tarjeta de crédito o débito configurada en Google Wallet para transacciones en tiendas físicas a través de NFC. Si todas estas condiciones se cumplen, el dispositivo se convierte en un objetivo vulnerable para alguien con un lector NFC adecuado.
Es importante subrayar que cada una de estas configuraciones tiene su propio propósito legítimo y su utilidad en diferentes contextos. Sin embargo, la combinación de todas ellas crea un escenario de riesgo que podría permitir la exposición de información sensible. Este caso pone de relieve la importancia de entender cómo interactúan entre sí las diferentes configuraciones de seguridad y privacidad en nuestros dispositivos.
Si todas las configuraciones mencionadas están activadas y el usuario tiene una tarjeta de crédito configurada para transacciones NFC en Google Wallet, un atacante con un lector NFC adecuado podría exponer los detalles de la tarjeta con un simple toque.
-Acciones de Google: Parches y Actualizaciones
Google ha tomado medidas inmediatas para abordar este problema, clasificándolo como de alta gravedad. Se ha incluido un parche en la actualización de seguridad de septiembre de 2023 para las versiones de Android 11 a 13.
Para aquellos que usan dispositivos que ya no reciben actualizaciones de seguridad o que operan en versiones anteriores de Android, la solución es sencilla: desactivar cualquiera o todas las configuraciones mencionadas anteriormente.
Tienes más información en 9to5Google.