El 30% de m車viles del mundo ha estado en peligro y ni nos hemos enterado
Una vulnerabilidad en un modem de Qualcomm hizo saltar las alarmas en octubre de 2020. Y nos enteramos ahora.
En la estupenda 007: El Ma?ana nunca Muere, James Bond se enfrentaba a uno de los villanos m芍s peligrosos y realistas que ha tenido la saga: Un villano &mogul* de los Medios de Comunicaci車n due?o de peri車dicos, cabeceras, webs y capaz de publicar &fake news* para cambiar situaciones geo-pol赤ticas a placer. 24 a?os despu谷s, ese villano no puede ser m芍s real, porque en la 谷poca actual que vivimos, quien controla noticias y recaba millones de datos personales es quien tiene el mayor poder de la Era 3.0 que vivimos.
Un 30% de todos los m車viles en peligro
?Y si alguien pudiera hacer lo mismo que hac赤a Batman al final de El Caballero Oscuro, cuando activa el dispositivo que le permite escuchar cada m車vil de Gotham? Algo parecido sucedi車 en octubre de 2020, cuando la agencia de ciberseguridad Check Point Research se dio de bruces contra un fallo de seguridad grav赤simo, una vulnerabilidad presente en los m車dem de la popular Qualcomm -autora del procesador Snapdragon entre otros, usado en la gran mayor赤a de terminales Android- que permit赤a a un atacante que supiera aprovecharla tener acceso tanto al historial de llamadas como a los SMS y a las conversaciones de millones de smartphones en el mundo.
E incluso podr赤a aprovecharla para desbloquear la SIM, superando as赤 las limitaciones impuestas por los proveedores de servicio. De hecho, la gravedad se hac赤a palpable al ponerla en n迆meros, ya que ese fallo afectaba a un 30% de todos los m車viles en activo en el mundo, 3 de cada 10 nada menos. Un fallo del que el gran p迆blico no se ha enterado hasta hoy, mayo de 2021, 8 meses despu谷s.
La vulnerabilidad del m車dem Qualcomm
Seg迆n un extenso post t谷cnico-forense sobre el problema en su blog, el problema es que el fallo descubierto podr赤a permitir a una aplicaci車n maliciosa parchear el software de los chips de m車dem MSM de Qualcomm, d芍ndole acceso al historial de llamadas y mensajes de texto o incluso la posibilidad de grabar conversaciones.
Se encontraron vulnerabilidades en las conexiones entre la capa de software Qualcomm Modem Interface (QMI) del m車dem y el servicio de depuraci車n, lo que permite parchear din芍micamente el software y saltarse los mecanismos de seguridad habituales.
Las aplicaciones est芍ndar de terceros no tienen privilegios de seguridad para acceder a QMI, pero si se comprometieran aspectos m芍s cr赤ticos de Android, se podr赤a utilizar este ataque. Con las vulnerabilidades que encontraron, los investigadores determinaron que una aplicaci車n maliciosa podr赤a:
- Escuchar y grabar una llamada telef車nica activa
- Obtener registros de llamadas y SMS
- Desbloquear una tarjeta SIM.
Check Point estima que el software QMI que descubri車 como vulnerable est芍 presente en m車viles? de proveedores como Samsung, Google, LG, OnePlus y Xiaomi, entre otros. Si bien los m谷todos de este ataque se describieron en t谷rminos generales, la informaci車n espec赤fica necesaria no se incluy車 en el informe para evitar que alguien pueda duplicar f芍cilmente el proceso.
?Mi m車vil est芍 en peligro? ?Escuchan mis llamadas?
Check Point Research ha revelado la hoja de ruta de su investigaci車n, se?alando que el 8 de octubre encontr車 el fallo y lo envi車 a Qualcomm, que tras investigarlo con sus expertos confirm車 el problema el 15 de octubre, pero no fue hasta ayer, 6 de mayo, cuando todo esto se hizo p迆blico.
Seg迆n Qualcomm, la vulnerabilidad fue parcheada en diciembre de 2020 y enviada a las fabricantes de m車viles ese mes, y muchas de estas ※ya han enviado las actualizaciones de seguridad pertinentes para sus usuarios§, agregando que ※no hay pruebas espec赤ficas de que la vulnerabilidad descubierta por Check Point est谷 siendo usada§.
De acuerdo, ese fallo no est芍 siendo explotado ahora mismo, pero ?y antes? Porque Check Point lo descubri車 en octubre de 2020, y no fue arreglado hasta dos meses despu谷s. Y tampoco sabemos en qu谷 actualizaci車n de seguridad fue incluido ni las compa?赤as que lo distribuyeron. Ni tampoco los modelos y m車viles.
Este es otro ejemplo m芍s de una realidad que nos supera, la de enterarnos de fallos y problemas de seguridad graves DESPU?S que hayan sucedido, en estos casos meses incluso. ?Cu芍ndo todas las compa?赤as dejar芍n de decidir por nosotros y decirnos claramente &ha sucedido este fallo, lo estamos reparando*, como s赤 hacen algunas?