Google lanza cada mes un parche de seguridad en el que arregla las vulnerabilidades que se descubren durante el mes anterior en Android. El último parche lanzado es el de noviembre, pero en el pasado mes de octubre se arregló una gravísima vulnerabilidad que permite hackear cualquier móvil usando sólo el NFC.

Cualquier persona cercana a ti puede hacer que instales una aplicación con malware

El NFC es muy útil si realizamos pagos con el móvil, además de otras muchas utilidades. Incluso si no lo usas, es una función que con casi total seguridad llevarás activada porque cuando configuramos un móvil por primera vez, la función ya viene activa, ya que puede usarse para enviar la configuración desde otro móvil en el proceso de configuración inicial, o también podemos enviar todo tipo de archivos con Android Beam.

Uno de los archivos que pueden enviarse son aplicaciones en formato .apk. Cuando las recibimos, aparece una notificación en la pantalla si pulsamos en la app, donde se pregunta al usuario si quiere instalar la aplicación que ha recibido de una fuente desconocida.

Sin embargo, tal y como descubrió un investigador de seguridad llamado Y. Shafranovich en enero, las aplicaciones enviadas a través de NFC en Android 8 y posterior no mostraban esa alerta al darle a ejecutar, a diferencia de lo que ocurre si instalamos la aplicación desde un navegador de archivos normal y corriente. Actualmente, cualquier cosa instalada desde fuera de la Play Store es considerada insegura.

Antes de Android 8, la opción de instalar de fuentes desconocidas se aplicaba a todo el sistema, donde sólo había que activarla una vez para que no preguntase más si queríamos o no instalarlas. Desde Android 8, hay que darle permiso a una app para que pueda ejecutar archivos .apk de fuentes desconocidas. Por ejemplo, podemos dar permiso al explorador de archivos para que instale otras aplicaciones.

Puedes protegerte del fallo asegurándote de que tienes desactivado Android Beam

Sin embargo, el fallo se encuentra en que Android Beam tenía permiso por defecto para instalar aplicaciones de fuentes desconocidas, recibiendo el mismo nivel de confianza que la Play Store. Esto es realmente peligroso, ya que con que alguien nos envíe una aplicación por NFC y le dé a ejecutar desde la notificación (un solo toque), puede infectar nuestro terminal. Muchos usuarios pueden interpretar que la aplicación viene de una fuente fiable, y si le dan por curiosidad a la notificación, la app se instala.

Para que un atacante pueda aprovecharse de la vulnerabilidad (código CVE-2019-2114), es necesario que su móvil esté en contacto con el nuestro durante tiempo suficiente para enviarnos la app maliciosa, como puede ser en el metro o zonas llenas de gente.

Si el fabricante de tu móvil es de los que tarda meses en actualizar el móvil, siempre puedes ir manualmente a la configuración de Android Beam en el menú de ajustes y asegurarte de que está desactivado. Si tienes Android 10, ya te encuentras protegido, porque esta versión elimina Android Beam. En el futuro será reemplazada por Fast Share.