Según cuenta IBM, la vulnerabilidad encontrada podría permitir que una aplicación maliciosa sin privilegios tenga la capacidad de convertirse en una aplicación con la que un posible atacante se adueñe del dispositivo en cuestión.
La vulnerabilidad, asignada a CVE-2015-3825, afecta a las versiones Android 4.3 y superiores, incluyendo la última versión de Android M. En esencia, el agujero reside en un componente de la plataforma Android llamado OpenSSLX509Certificate, el cual puede ser explotado por una aplicación para Android que compromete al sistema hasta el punto de acceder a su totalidad.
Un ejemplo de ello lo podemos ver en el vídeo que han colgado desde IBM junto al paper publicado. En las imágenes podemos ver un ataque a modo de prueba que demuestra la forma en que fueron capaces de explotar el agujero utizando una app maliciosa y sustituirla por la aplicación real de Facebook, con el fin de robar las credenciales de acceso a la red social.
Una vez que el usuario ejecuta esa aplicación (sin privilegios aparentes), se descarga un código adicional que sobrescribe la app existente, cargado con un exploit que ofrece permisos adicionales a través de la vulnerabilidad encontrada. Además, los investigadores también descubrieron otra serie de agujeros en SDKs de terceros que podrían permitir a posibles atacantes ejecutar código remoto desde apps que utilizan estos SDK.
IBM ha informado ya a Google del fallo antes de presentar el paper publicado y ya se ha emitido un parche, aunque como ocurre muchas veces es muy posible que la gran mayoría de usuarios de Android tarden en recibirlo o incluso no lleguen a hacerlo.