Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Las fallas de seguridad de Samsung dejan a 600 millones de usuarios de Android vulnerables a un simple hackeo del teclado

Una nueva investigación de NowSecure indica una falla crítica en los teléfonos Samsung que ha dejado a aproximadamente 600 millones de dispositivos vulnerables a simples ataques de tipo intermediario. Esta no es la primera vez que las malas prácticas de seguridad de Samsung aparecen en las noticias este año, pero esta falla móvil eclipsa los problemas de cifrado de Smart TV que cubrimos esta primavera. Sin embargo, el problema tiene la misma causa raíz: prácticas de cifrado inexistentes y medidas de seguridad deficientes.

En este caso, Samsung envió su propia versión de SwiftKey, un teclado de Android. Los desarrolladores de SwiftKey han declarado que el error no está presente en su propia versión del código, lo que significa que Samsung es responsable de crear y distribuir el error.

AndroidData

Imagen de Ahora seguro

El proceso de actualización de SwiftKey se ejecuta de forma invisible en segundo plano, pero se ejecuta en el nivel de permiso del usuario del sistema. Eso es solo un paso del acceso de root y le da permiso al proceso para eludir los controles de seguridad y las salvaguardas que de otro modo podrían impedir su funcionamiento. Hay muy poco en la forma de verificación o confirmación de archivos: el proceso de actualización realiza una verificación de hash en el archivo ZIP que descarga, pero los investigadores ya han descubierto cómo evitarlo.

Debido a que Samsung realiza todo esto en texto plano, es trivialmente fácil para cualquier persona en la misma red WiFi realizar un ataque clásico de intermediario y entregar un archivo infectado con un hash SHA1 idéntico. Esto luego se puede usar para monitorear la cámara, el micrófono, leer mensajes e instalar aplicaciones, todo sin que el usuario se dé cuenta. Debido a que SwiftKey no se puede desinstalar, cualquier propietario de Galaxy S5 o S6 se ve potencialmente afectado. No usar el teclado tampoco ayuda; aún puede buscar actualizaciones en segundo plano y será vulnerable cada vez que lo haga.

El ecosistema de Android es fundamentalmente inadecuado

Hace unos meses, cubrimos la decisión de Google de dejar de parchear versiones anteriores de Android, a pesar de cómo todavía se venden los dispositivos que usan estas versiones. Una de las defensas más comunes de la compañía es que Google no debería molestarse en escribir parches para su propio sistema operativo porque no controla la plataforma de distribución y no puede obligar a los OEM a implementar una actualización.

Samsung ahora está atrapado en un barco similar. Según todas las cuentas, la compañía realmente solucionó el error de SwiftKey en enero, pero ni un solo operador ha incluido la solución. Eso significa que todos los que tengan uno de estos dispositivos ahora son vulnerables a un ataque MitM bastante trivial. Si bien Samsung merece una gran parte de la culpa por no verificar sus propias medidas de seguridad, no es la única institución culpable. Lo que vemos aquí es el resultado final de que nadie se tome en serio la seguridad en ningún nivel en particular.

Esta falta de mejores prácticas de seguridad es una de las razones por las que Internet de las cosas podría no despegar. En un mundo donde los dispositivos son increíblemente fáciles de manipular o piratear, los beneficios de los productos «tontos» podrían abrumar rápidamente las campanas y silbidos que los fabricantes intentan pegar en sus diversos hardware «inteligentes». Tal como están las cosas, los dispositivos se envían con implementaciones de seguridad increíblemente rotas, y la única respuesta de los operadores inalámbricos es sentarse en sus pulgares colectivos.

Si posee un dispositivo Samsung Galaxy, a partir de hoy, no hay absolutamente nada que pueda hacer para cerrar este agujero de seguridad. Rootear el dispositivo para quitar el teclado o instalar Cyanogen podría solucionar el problema, pero a falta de eso, todo el mundo está atascado.