Unos graves fallos de
seguridad, que podrían dar a los atacantes acceso completo a los datos de
un teléfono, han sido encontrados en el software utilizado en cerca de 900
millones de dispositivos Android.
Los bugs, apodados
QuadRooter, fueron descubiertos por los investigadores de la firma de seguridad
informática Checkpoint mientras buscaban software ejecutándose en los chipsets
fabricados por la firma estadounidense Qualcomm. Estos procesadores se
encuentran en alrededor decenas de millones de teléfonos Android, dijo la
compañía.
Sin embargo, aún no hay
evidencia de que las vulnerabilidades estén siendo utilizadas por hackers o ladrones
cibernéticos. "Estoy bastante seguro de que veremos estas vulnerabilidades
siendo utilizadas en los próximos tres a cuatro meses", dijo Michael Shaulov,
director de gestión de movilidad de producto en Checkpoint a la BBC. "Siempre
es una carrera en cuanto a quién encuentra el error en primer lugar, si los
buenos o los malos."
Shaulov dijo que los problemas
fueron descubiertos después de seis meses de trabajo para revertir código de
ingeniero de Qualcomm. Las fallas fueron encontradas en el software que se
encarga de los gráficos y en el código que controla la comunicación entre los
diferentes procesos que se ejecutan dentro de un teléfono. La explotación de estas
fallas podría
permitir que un atacante sea capaz de tomar gradualmente un mayor control
sobre un dispositivo y acceder a sus datos.
Checkpoint entregó información
sobre los errores y pruebas de concepto a Qualcomm a principios de este año. En
respuesta, Qualcomm
ha creado parches para subsanar estos errores y comenzó a utilizar las
versiones corregidas en sus fábricas. La empresa fabricante de chips también ha
distribuido parches a los fabricantes de teléfonos y operadores. Sin embargo,
no está claro cuántas de esas compañías han emitido cambios a los teléfonos de
los clientes.
"Fuimos notificados por los
investigadores acerca de estas vulnerabilidades, entre febrero y abril de este
año, e hicimos parches disponibles para las cuatro vulnerabilidades a los
clientes, socios y la comunidad de código abierto de abril a julio", dijo
Qualcomm.
Checkpoint por su parte ha
creado una aplicación
gratuita llamada QuadRooter Scanner que se puede utilizar para comprobar si
un teléfono es vulnerable a cualquiera tipo de falla de diseño, al revisar si
los parches ya han sido descargados e instalados.
Además, Shaulov dijo que los
propietarios de Android deben evitar descargar aplicaciones desde cualquier
lugar que no sea la tienda oficial de Google Play para evitar ser víctima de programas
maliciosos. "Las personas deben llamar a quien les vendió su teléfono,
su operador o fabricante, y pedirles los parches", finaliza el especialista.
Los dispositivos afectados que
pueden estar afectados son:
- LG G4, LG G5, y LG V10
- Versiones estadounidenses de Galaxy
S7 y Samsung y S7 Edge
- New Moto X de Motorola
- HTC One, HTC M9 y HTC 10
- Sony Xperia Z Ultra
- Google Nexus 5X, Nexus 6 y
Nexus 6P
- OnePlus One, OnePlus 2 y OnePlus 3
- BlackBerry Priv
- Blackphone 1 y Blackphone 2
FUENTES: BBC, THE
GUARDIAN