Un error crítico de seguridad de Qualcomm permite a los hackers tomar el control remoto de los teléfonos inteligentes Android

Millones de teléfonos inteligentes Android con los chips Qualcomm más vendidos son propensos a ser hackeados. Esto fue revelado por el equipo rojo de la firma de ciberseguridad Mandiant, que ha descubierto una vulnerabilidad generalizada que afecta a los dispositivos Android con chip Qualcomm, haciéndolos susceptibles a ataques.

Los investigadores del equipo rojo dijeron que la vulnerabilidad existía desde 2011, ya que se han observado APIs vulnerables —que alguien estaba utilizando— en un repositorio de Git de esa época. Esto hace que sea particularmente difícil parchear todos los dispositivos afectados, dijo la firma en un comunicado.

El fallo, que es más severo en las versiones de Android 4.3 y anteriores, permite que aplicaciones de bajo privilegio accedan a datos sensibles que se supone que están fuera de límites, según una publicación de blog publicada por la firma de seguridad FireEye. Aunque el fallo puede funcionar en Android 4.3, los hackers pueden usarlo para atacar dispositivos vulnerables que ejecutan Android 4.4 o superior. En este caso, una aplicación maliciosa puede modificar subrepticiamente propiedades sensibles del sistema operativo. Los atacantes a menudo combinan tales exploits con un exploit de baja severidad similar para aumentar el potencial del ataque.

Los investigadores de FireEye dijeron que la vulnerabilidad también puede ser explotada por hackers potenciales para obtener acceso físico a un dispositivo desbloqueado. Indexado como CVE-2016-2060, el error se introdujo por primera vez cuando el fabricante de chips móviles Qualcomm lanzó un conjunto de interfaces de programación para un servicio del sistema conocido como “network_manager” y más tarde el demonio “netd”.

La vulnerabilidad existe en un paquete de software mantenido por Qualcomm que está disponible en el Code Aurora Forum (publicado como CVE-2016-2060 y el aviso de seguridad QCIR-2016-00001-1) y permite la escalada de privilegios locales al usuario de radio incorporado. Un atacante puede explotar el fallo para obtener acceso físico a un dispositivo desbloqueado y también instalar una aplicación maliciosa en el dispositivo a voluntad.

“En dispositivos más antiguos, la aplicación maliciosa puede extraer la base de datos de SMS y la base de datos de llamadas telefónicas, acceder a Internet y realizar cualquier otra capacidad permitida por el usuario de radio”, dijo la firma.

La vulnerabilidad parece afectar a todos los dispositivos Android con chips Qualcomm y que funcionan con código Qualcomm. Dado que Qualcomm es uno de los chips más populares, muchos teléfonos inteligentes insignia de Samsung, HTC podrían ser vulnerables a este ataque. FireEye dice que el error podría tener un alcance generalizado y podría haber afectado a cientos de dispositivos en los últimos cinco años.

Qualcomm, por su parte, abordó el problema al lanzar un parche de software a principios de marzo de 2016. “Los OEM ahora necesitarán proporcionar actualizaciones para sus dispositivos; sin embargo, muchos dispositivos probablemente nunca serán parcheados”, dijo el informe.

El problema con los teléfonos inteligentes Android es que hay cientos de fabricantes y, salvo algunos de los principales, muchos no se molestan en lanzar parches a sus usuarios. Además, Android tiene tantas versiones en funcionamiento actualmente, desde Android Ice Cream Sandwich hasta Android Marshmallow, que es prácticamente imposible lanzar un parche común para todos ellos.

FireEye dice que el error es muy crítico porque un usuario no sabrá que su teléfono inteligente Android ha sido hackeado incluso después de que el hacker potencial tome el control del teléfono y espie silenciosamente a la víctima. “No hay impacto en el rendimiento ni riesgo de que el dispositivo se bloquee”, añadió el informe.

La vulnerabilidad fue parcheada en el parche de seguridad de Android que Google lanzó el 1 de mayo. Un representante de Google dijo que los dispositivos Nexus nunca fueron afectados.