Imagen: weerapatkiatdumrong, Getty Images/iStockphoto

Nuestros teléfonos celulares contienen una gran cantidad de información personal, incluidas fotos, videos, registros de llamadas, contactos, datos de ubicación y más. Es por eso que cualquier falla de seguridad que se encuentre en estos teléfonos puede ser problemática, especialmente si un atacante puede explotar estas fallas. Un nuevo informe del proveedor de inteligencia de amenazas cibernéticas Check Point Research explica cómo las vulnerabilidades encontradas en un chip en muchos teléfonos Android podrían permitir a los piratas informáticos espiar a los usuarios.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (República Tecnológica)

En su informe "Achilles: Small chip, big peril", Check Point describe cómo descubrió más de 400 fallas de seguridad en un chip Snapdragon Digital Signal Processor (DSP) fabricado por Qualcomm Technologies. Diseñado como un sistema en chip, un DSP contiene hardware y software diseñado para optimizar las funciones del teléfono, como las capacidades de carga, las experiencias multimedia y el audio.

Qualcomm es un nombre común en el campo móvil porque sus chips están integrados en teléfonos de Google, Samsung, LG, Xiaomi, OnePlus, y otros proveedores de Android. Los iPhones no se ven afectados por estos defectos, según Check Point.

Las fallas de DSP descubiertas por Check Point podrían ayudar a los piratas informáticos a convertir los teléfonos específicos en sus propios dispositivos espía al obtener información como fotos, videos, grabaciones de llamadas, datos de micrófonos en tiempo real, así como solo datos de ubicación y GPS. Además, los atacantes podrían hacer que un teléfono no responda y quede inutilizable al hacer que toda esta información almacenada no esté disponible para los propietarios. El malware implantado al explotar las fallas también podría ser inamovible.

A pesar del riesgo que representan estas vulnerabilidades, Check Point aún no ha detectado ningún exploit real.

"No hemos podido identificar ningún uso de estos exploits en la naturaleza", dijo a TechRepublic Ekram Ahmed, gerente de relaciones públicas de Check Point. "Eso, por supuesto, no significa que no se usaron, solo que no los detectamos en nuestra telemetría".

Check Point informó de sus hallazgos a Qualcomm, que luego informó a los distintos fabricantes de dispositivos. Qualcomm pudo parchear las vulnerabilidades por su parte y les asignó los siguientes CVE: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 y CVE-2020 -11209.

Un portavoz de Qualcomm compartió la siguiente declaración con TechRepublic:

“Con respecto a la vulnerabilidad Qualcomm Compute DSP revelada por Check Point, hemos trabajado diligentemente para validar el problema y poner a disposición de los OEM las mitigaciones adecuadas. No tenemos evidencia de que sea explotado actualmente. Recomendamos a los usuarios finales que actualicen sus dispositivos a medida que haya soluciones disponibles y que solo instalen aplicaciones desde ubicaciones confiables, como Google Play Store.

“Si bien Qualcomm ha resuelto el problema, desafortunadamente este no es el final de la historia”, dijo Yaniv Balmas, jefe de investigación cibernética de Check Point, en un comunicado de prensa. “Cientos de millones de teléfonos están expuestos a este riesgo de seguridad. Puedes ser espiado. Puedes perder todos tus datos. Nuestra investigación muestra el complejo ecosistema del mundo móvil. Con una larga cadena de suministro integrada en cada teléfono, no es trivial encontrar problemas profundamente ocultos en los teléfonos móviles, pero tampoco lo es solucionarlos.

Los parches de Qualcomm son solo el primer paso. Ahora los proveedores móviles deben intervenir para aplicar e implementar los parches necesarios para sus usuarios. Como tal, Check Point dijo que no revelaría todos los detalles sobre las vulnerabilidades hasta que los proveedores de dispositivos móviles implementen una forma integral de solucionarlas. Y puede tomar algún tiempo.

“Suponemos que llevará meses, si no años, mitigar por completo”, dijo Balmas. "Si tales vulnerabilidades son descubiertas y utilizadas por actores malintencionados, millones de usuarios de teléfonos móviles prácticamente no tendrán forma de protegerse durante mucho tiempo. Ahora depende de los proveedores, como Google, Samsung y Xiaomi, integrarlos". estas correcciones en todas sus líneas de teléfonos, tanto en la fabricación como en el mercado.