600 millones de dispositivos móviles Samsung vulnerables a ataques remotos

Recientemente un investigador de seguridad de la empresa NowSecure, Ryan Welton, hizo públicos sus informes acerca de una falla de seguridad en los dispositivos Samsung. En el informe se explica sobre el gran impacto que podría llegar a tener en todo el mundo, recordemos que los dispositivos móviles de Samsung ocupan un lugar de privilegio dentro de los más vendidos, son 600 millones los afectados y eso incluye su más reciente lanzamiento, el Samsung Galaxy S6.

Para los más curiosos o entendidos del tema, el investigador se tomó la molestia de grabar un video para Youtube, donde muestra paso a paso cómo se puede vulnerar fácilmente los terminales Samsung. La vulnerabilidad es identificada como CVE-2015-2865, actualmente estaría afectando a los Galaxy S4, Galaxy S4 Mini, Galaxy S5 y Galaxy S6 respectivamente.
En el video que ya cuenta con más de 134 mil visitas, se puede apreciar que si el dispositivo se conecta a una red Wi-Fi libre, y otra persona (dentro de la misma red) con los debidos conocimientos puede acceder al dispositivo, podría poner en problemas la privacidad de la víctima. Por ese motivo, siempre hacemos especial hincapié en la importancia de tener sumo cuidado a la hora de conectarse a una red pública, en el caso de los dispositivos Samsung, solo es necesario conectarse a una red pública para que una persona mal intencionada comience a explotar la vulnerabilidad.

¿Qué pasa cuando el atacante accedió al dispositivo? Una vez que se aprovecha el fallo de seguridad, los atacantes podrían acceder de manera remota al dispositivo y espiar mediante la cámara e inclusive activar el micrófono del mismo. Pero no solo eso, también es posible rastrear la ubicación física del celular mediante su GPS, instalar aplicaciones maliciosas, robar información, leer mensajes, escuchar llamadas de voz, etc.
Todo esto es posible gracias a una actualización de firmware maliciosa que es ofrecida por los atacantes a la hora de conectarse a la red pública, si el dispositivo tiene las actualizaciones automáticas activadas y se instala, seremos otra de sus víctimas.

La base del problema radica en la aplicación del teclado SwiftKey que viene preinstalado en los dispositivos Samsung. Muchos pensarán que esto es tan simple como remover la aplicación y caso cerrado, pues no, no es tan fácil, especialmente por el hecho que Samsung no permite desinstalar o desactivar la aplicación que pone en peligro la seguridad.

Los investigadores que están estudiando la falla explican que, el teclado se actualiza con la descarga de un archivo comprimido (.zip) mediante una conexión HTTP (no segura) sin cifrar y no se comprueba la autenticidad de la actualización, como resultado cualquier atacante podría ser capaz de interceptar la descarga en el momento que la víctima está usando la red Wi-Fi maliciosa para mandar malware al equipo, así como también cancelar la descarga y aplicar un nuevo archivo comprimido malicioso. Durante la actualización se tiene acceso a nivel de SYSTEM, por lo cual los atacantes son capaces de sobrescribir archivos en el dispositivo e inclusive instalar malware a gusto y placer sin el consentimiento de la víctima.

A estos ataques se los conoce como man-in-the-middle, al momento de la actualización no se está utilizando una conexión HTTPS, que sería lo más recomendable en estos casos, y es allí cuando actúan los atacantes interceptando el tráfico de las conexiones para hacer que su victima descargue malware en su celular.

La firma NowSecure aseguró que le informó sobre el fallo de seguridad a los expertos de Samsung a finales de 2014, y también se le notificó al equipo de seguridad de Android de Google. Algunas personas creen que el gigante de la telefonía coreana ha comenzado a distribuir un parche a los operadores de telefonía móvil a comienzos de este año, pero es complicado para los usuarios determinar si el operador de su país ha logrado solucionar el problema, todavía no se sabe cuántos clientes podrían verse afectados.

Lo cierto es que hay millones de dispositivos que todavía son vulnerables, y SwiftKey no hizo oídos sordos a todo el revuelo generado por el hallazgo del investigador Ryan Welton. Desde la firma explican que la culpa la tiene Samsung, “Parece que la forma en que nuestra tecnología de predicción fue integrada en los dispositivos Samsung introdujo la vulnerabilidad de seguridad”. Escudándose, SwiftKey indicó que sus aplicaciones están disponibles en Google Play y iOS App Store, ninguna de ellas están en peligro por la vulnerabilidad anteriormente mencionada, el problema es la forma en la que fue implementada por la firma coreana.

De momento no hay forma de solucionar este fallo de seguridad, a menos que en un corto plazo se libere alguna actualización por parte de los operadores de telefonía. La recomendación en estos casos es tener sumo cuidado con las redes Wi-Fi públicas, si dispones de un teléfono Galaxy S4, Galaxy S4 Mini, Galaxy S5 o Galaxy S6, procura conectarte siempre a redes de confianza. Si bien el fallo es grave, no es para alarmarse y dejar de usar redes públicas, no hay un hacker en todos los puntos de acceso, y mucho menos queriendo aprovecharse del fallo.

Deja un comentario