A punto de aparecer la nueva versión de su sistema operativo, para Android llegan muy malas noticias. Y es que hasta cuatro vulnerabilidades encontradas en los chip Qualcomm podrían dar como resultado que más de 900 millones de dispositivos Android que montan este chip pudieran ser hackeados.
Estas vulnerabilidades, que han sido bautizadas con el nombre de QuadRooter, podrían permitir a los atacantes tomar posesión a todos los niveles de seguridad del dispositivo.
Los investigadores de la empresa de seguridad de Check Point explicaron ayer domingo en la conferencia de seguridad Def Con, que, para hacerse con el control del dispositivo, el atacante tendría que engañar a un usuario para que instale una aplicación maliciosa, y que, a diferencia de otros malwares, no requeriría ningún permiso especial. Normalmente los dispositivos Android no permiten la instalación de aplicaciones de terceros fuera de Google Play pero los creadores de este tipo de malwares han ajustado la naturaleza de estos para que no requieran permisos especiales.
Si se permite acceder a través de estas vulnerabilidades, un atacante podría obtener acceso a la raíz del terminal, lo que le dotaría de acceso completo al dispositivo que ha infectado, desde la información personal y aplicaciones, hasta hardware como la cámara o el micrófono. Estas vulnerabilidades también afectan a terminales de gama alta con reciente salida al mercado como los Nexus 5X y 6P, los HTC One M9 y todos los S7 de Samsung.
Un portavoz de Qualcomm asegura que se han encontrado todos los fallos y que se han emitido parches a los clientes con código abierto desde abril hasta finales de julio. La mayor parte de esos parches ya han entrado en conjunto mensual de parches de seguridad de Android, que Google emite a principios de cada mes para sus dispositivos Nexus.
Tres de estas vulnerabilidades han sido solventadas con dichos parches siguiendo las políticas del sector (política CERT/CC). Qualcomm ha revisado las vulnerabilidades y tras clasificarlas como alto riesgo, ha proporcionado a los fabricantes de dispositivos los parches correspondientes aunque la última de ellas aún está pendiente. Google ha confirmado que el cuarto defecto será corregido en la próxima actualización del sistema operativo prevista para septiembre. Mientras tanto, Check Point ha lanzado una aplicación que nos permite detectar si nuestro dispositivo cuenta con este fallo y por lo tanto es susceptible de ser hackeado.
Pese a que nuestro smartphone se encuentre o no vulnerable siempre es recomendable seguir una serie de pautas de seguridad con el fin de prevenir los ataques. Algunas de estas pautas son de sentido común, como por ejemplo no descargar nada fuera de Google Play, esperar al anuncio oficial de las actualizaciones para descargarlas, tener en cuenta el riesgo que engloba rootear los dispositivos, utilizar tan solo redes WiFi que conozcamos, incluso cuando estemos fuera conectarnos solo a redes seguras y evitar las que no requieran contraseña.