martes, 28 de julio de 2015

'Enorme desastre' para Google: Móviles con Android se pueden 'hackear' con un mensaje de texto

Los teléfonos con sistema operativo Android se pueden infectar con simplemente recibir una foto en un mensaje de texto, de acuerdo con una investigación publicada este lunes.

Este es probablemente la falla de seguridad más grave en un teléfono móvil jamás descubierta. Afecta a un estimado de 950 millones de teléfonos alrededor del mundo, o el 95% de los teléfonos Android en uso a la fecha.

El problema surge de la forma en que los teléfonos con Android analizan los mensajes de texto que recibe. Inclusive antes de que abras el mensaje, el teléfono procesa automáticamente los archivos multimedia que se están recibiendo, incluyendo fotos, audio y video.

Eso significa que un archivo con malware puede comenzar a infectar el teléfono tan pronto como es recibido, de acuerdo con Zimperium, una compañía de seguridad cibernética que se especializa en dispositivos móviles.

Si esto suena familiar, es debido a que esta falla de Android es algo similar al reciente "hackeo” de Applemediante mensajes de texto.

Pero en ese caso, un mensaje de texto con los caracteres indicados podía congelar un iPhone o forzarlo a que se resetear. Esta falla de Android es peor, porque un pirata informático podría tener control absoluto del teléfono: borrar el dispositivo, entrar a las aplicaciones y encender secretamente la cámara.

En un comunicado enviado a CNNMoney, Google reconoció la falla. Aseguró que Android tiene formas de limitar el acceso de un pirata informático al separar las aplicaciones de las funciones del teléfono. Sin embargo los piratas informáticos han podido sobrepasar esas limitaciones en el pasado.

Esta falla afecta a cualquier teléfono que usa Android que haya salido al mercado en los últimos cinco años, de acuerdo con Zimperium. Eso incluye dispositivos que corren Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich, Jelly Bean, KitKat y Lollipop.

Zimperium dijo que adivirtió a Google sobre la falla el 9 de de abril pasado e inclusive ofreció una forma de arreglarla. La compañía afirma que Google respondió el siguiente día, asegurando que un parche pronto seria distribuido a los usuarios en el futuro.

Típicamente, en dichas situaciones, las compañías tienen periodo de gracia de 90 días arreglar el problema. Es una regla a la que inclusive Google se adhiere cuando encuentra fallas en el software de otros.

Pero ya han pasado 109 días y el parche sigue sin estar disponible. Es por ello que Zimperium decidió hacer pública la vulnerabilidad.

El asunto se centrará ahora en qué tan rápido Google podrá solucionar la falla para todos. Mientras que Apple puede simplemente liberar una actualización para todos los teléfonos, Google no puede.

Google se conoce por tener un sistema de distribución fragmentado. Varias entidades se encuentran entre Google y sus usuarios, y rutinariamente hacen lento el proceso para liberar nuevo software. Hay compañías telefónicas como AT&T y Verizon, así como fabricantes de teléfonos como Samsung, y todos juntos deben de trabajar en liberar las actualizaciones.

Google dijo a CNNMoney que ya envió el parche a sus "socios”. Sin embargo, no se sabe si alguno de ellos ya comenzó a liberarlo a sus clientes.

Por esa simple razón, Google recientemente puso a sus teléfonos Nexus al frente de la fila para recibir actualizaciones.

Este podría ser un caso que pruebe qué tan importante es recibir actualizaciones rápidamente.

Chris Wysopal es un pirata informático que ahora es ejecutivo de la firma Veracode. Él calificó esta versión de malware como el Hearbleed de Android, una falla devastadora que puso a millones de computadoras en riesgo el año pasado.

"Esto interesado en ver si Google ofrece una forma de actualizar los dispositivos de manera remota”, dijo. "A menos de que puedan hacer eso, tienen un enorme desastre en sus manos”.

No hay comentarios:

Publicar un comentario