viernes, agosto 01, 2014

Dos fallos de seguridad ponen en riesgo millones de móviles

Investigadores de seguridad han revelado esta semana dos amenazas separadas que pueden poner en riesgo al 90% de los 2.000 millones de smartphones que hay en el mundo. Las vulnerabilidades ocasionan que los hackers puedan robar información y tomar en control de los terminales.

Reuters informa que el primero de estos fallos afecta a Apple, Blackberry y los dispositivos que usen Android de Google. Han descubierto fallos en la forma en que se ha implementado un estándar de la industria que controla la gestión las conexiones de red y las identidades de usuarios.


Alertan que esta amenaza podría permitir a los atacantes limpiar de raíz los dispositivos de forma remota, y lograr así instalar software malicioso, acceder a los datos y ejecutar aplicaciones móviles. Esto es lo que ha desvelado, Mathew Solnik, un investigador móvil de Accuvant, empresa de seguridad cibernética.


La segunda vulnerabilidad separa afecta a tres cuartas partes de dispositivos que corren con una vieja versión del sistema operativo Android . Lo han denominado «Fake ID» y ha sido descubierto por investigadores de Bluebox y permite a los atacantes robar datos y apoderarse del teléfono. El agujero permite al malware suplantar aplicaciones, y se dice, tiene la capacidad de sustraer información confidencial como número de tarjetas de crédito. También permitiría tomar el control del móvil.

«La vulnerabilidad permite a aplicaciones maliciosas suplantar a aplicaciones confiables especialmente reconocidas sin que el usuario lo note. Esto puede tener un amplio espectro de consecuencias. Por ejemplo, puede utilizarse la vulnerabilidad por malware para escapar de la sandbox de uso normal y tomar una o más acciones maliciosas: insertar un troyano en una aplicación haciéndose pasar por Adobe systems; acceder a la tecnología NFC y datos de pago haciéndose pasar por Google Wallet; o tomar el control de la gestión completa de todo el dispositivo haciéndose», ha dicho la Bluebox a través de su blog.

Un portavoz de Google se negó a comentar a Reuters sobre el fallo descrito por Accuvant, pero señaló que ya habían puesto en marcha un parche de seguridad para el «Fake ID». Señalan que tras conocer el fallo de Fake ID exploraron todas aplicaciones de la tienda Google Play y no descubrieron ningún riesgo para usuarios.

Blackberry por su parte ha digo que ya trabaja con Accuvant para solucionar el error descubierto. «Los investigadores de seguridad internos y externos tienen un papel crítico en la mejora de los estándares de seguridad de la industria», ha dicho Christina Richmond, portavoz de Blackberry.

Tanto Accuvant como Bluebox presentarán sus descubrimientos en la conferencia de ciberseguridad Black Hat en Las Vegas.