Muchos dispositivos Android se envían con vulnerabilidades de firmware, según los investigadores
Compañias como Asus, Essential, LG y ZTE se han comprometido a corregir los fallos de seguridad encontrados por la empresa de seguridad móvil Kryptowire. La investigación de la empresa tenía como objetivo señalar que algunos problemas de seguridad que se derivan del código escrito por las compañías telefónicas para modificar Android.
Los investigadores encontraron errores en el firmware de 10 dispositivos vendidos a través de los principales operadores estadounidenses.
Estos fallos de seguridad podrían llevar a que un atacar o un tercero pueda controlar su micrófono y más, aunque la mayoría de los ataques detallados por los investigadores requieren que los usuarios descarguen algún tipo de aplicación maliciosa antes de que puedan aprovecharla los fallos de seguridad presentes en el firmware.
Su investigación, financiada por el Departamento de Seguridad Nacional, se presentará hoy en la conferencia de seguridad de Black Hat USA.
Según Kryptowire, estas vulnerabilidades provienen de la naturaleza abierta de Android, que permite a terceros modificar el código y modificar la interfaz o crear versiones completamente diferentes de Android.
Ser Android un sistema abierto puede generar lagunas en la seguridad
Los investigadores dicen que este sistema de estilo abierto también puede generar lagunas en la seguridad de los teléfonos.
"Mucha de la gente en la cadena de suministro desea poder agregar sus propias aplicaciones, personalizar, agregar su propio bacalao", dijo a Wired el gerente general de Kryptowire, Angelos Stavrou. "Eso aumenta la superficie de ataque y aumenta la probabilidad de errores de software".
Un ejemplo particularmente malo fue encontrado en el teléfono inteligente Asus Zenfone V Live. Según Wired, Kryptowire encontró suficientes agujeros en su código para exponer a los usuarios a que una atacante pueda tomar el control completo de su dispositivo: realizar capturas de pantalla y realizae grabaciones de video de su pantalla, y podría permitir a alguien, teóricamente, leer y cambiar sus mensajes de texto.
Las empresas afectadas están preparando parches
Asus por su parte dijo que está "al tanto de los recientes problemas de seguridad" y que está "trabajando con diligencia y rapidez para resolverlos" con un parche.
Essential, LG y ZTE respondieron a Wired con declaraciones que decían que habían resuelto algunos o todos los problemas identificados por Kryptowire luego de ser alertados por la empresa.
Aún queda una duda en el aire, debido a que no está claro si esos parches se han implementado para todos los usuarios, ya que solo AT&T confirmó que había implementado cualquiera de estas actualizaciones.
Y como señalan los investigadores, este proceso de actualización, en sí mismo, está roto para muchos, con actualizaciones que a menudo tardan meses en hacerse y llegar a los usuarios finales.
Fuente: Wire