Hace ya unas versiones de Android, en AndroidTR hablamos de una amenaza potencial para los usuarios a la que nombramos como “ScreenTR”. Para los que no lo recuerden, se trataba de una forma simple de, usando un permiso especial de las apps de Android, hacer phishing sobre cualquier app de nuestro teléfono. El principal problema se dividía en dos. En primer lugar, el permiso no era de los que el usuario tiene que conceder. En segundo lugar, no podíamos saber si lo que veíamos en nuestra pantalla era o no real. Pues bien, Android 12 termina con el problema.
Si bien es cierto que la primera parte del problema Google la solucionó haciendo el permiso más “peligroso”, de forma que el usuario lo tiene que conceder manualmente. Si consiguiésemos engañar al usuario para que nos proporcione dicho permiso no podríamos estar seguros de quién crea la interfaz de usuario que las apps nos enseñan.
La forma más simple de explotar esto es crear una app sencilla que requiera de forma legítima este permiso y, una vez concedido, tratar de suponer una interfaz falsa a aplicaciones bancarias o redes sociales para obtener nuestros credenciales. Una vez detectados dichos datos, la interfaz falsa desaparece y pensamos que solo se trata de un problema a la hora de cargar los datos.
¿Cómo lo soluciona Android 12?
Además de los nuevos permisos que permitirán a las tiendas de terceros hacerle una mayor competencia a Google Play, Android 12 incorpora un nuevo permiso que permite a las aplicaciones que lo soliciten evitar que se dibujen ventanas que no sean del sistema sobre su interfaz.
La idea tras esto es que, por ejemplo una aplicación bancaria, pueda evitar cualquier tipo de superposición sobre ella. Queda trabajo al respecto para que veamos este nuevo permiso en acción ya que, además de necesitar que nuestro teléfono cuente con Android 12 o superior, requerirá que las apps (bancarias o de cualquier tipo) lo declaren.