Cibercriminales podrían tomar el control de dispositivos Android mediante la explotación de una función de aplicaciones de soporte remoto

Luis V. Sintes Martinez Analista de Seguridad - Vintegris, opina sobre los ataques cibernéticos

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Muchos fabricantes de teléfonos inteligentes precargan una herramientas de soporte remoto en sus dispositivos Android de una manera insegura, proporcionando un método para que los hackers puedan tomar el control de los dispositivos a través mensajes SMS.

Esta nueva vulnerabilidad afecta a cientos de millones de dispositivos Android de muchos fabricantes, tales como Samsung Electronics, LG Electronics, HTC, Huawei Technologies y ZTE.

La mayoría de los teléfonos inteligentes de diferentes proveedores vienen precargados con herramientas de soporte remoto. En algunos casos, estas herramientas son instaladas por las mismas compañías de telefonía móvil.

Estas herramientas funcionan como las aplicaciones del sistema, tienen una gran cantidad de permisos poderosos y están firmadas digitalmente con certificados de los fabricantes. Permiten que el personal de soporte técnico de las empresas fabricantes de dispositivos puedan solucionar problemas con los dispositivos al tomar el control de sus pantallas de forma remota e interactuar con ellos.

A menos que haya tenido un problema con sus dispositivos que requiera este tipo de interacción, los usuarios no son conscientes de que existen estas herramientas en sus teléfonos, ya que no tienen interfaces de usuario.

Las herramientas a las que me refiero cuentan con 2 componentes: un plug-in instalado en el sistema que tiene potentes privilegios y todos los permisos necesarios para este tipo de tareas y una aplicación que se comunica con él.

Mientras que el plug-in es normalmente parte del firmware, las aplicaciones a las que se permite interactuar con él permiten que venga preinstalado o sea descargado más tarde.

Las aplicaciones maliciosas podrían abusar de la funcionalidad de soporte remoto para robar datos personales, las ubicaciones del dispositivo, grabar conversaciones a través del micrófono y mucho más.

La vulnerabilidad en cuestión se la denomina certifi-gate. Tanto Google como los fabricantes afectados ya han comenzado la liberación de parches.

No obstante, debido a que el sistema de plug-in se firma con el certificado del fabricante, el problema no se puede solucionar tan fácilmente. Estos certificados no pueden ser revocados porque eso causaría que el resto de las aplicaciones añadidas por los fabricantes dejaran de trabajar. Así, un atacante podría engañar a los usuarios para instalar una versión anterior y vulnerable del plug-in, que reemplazaría el parcheado, para volver a habilitar el ataque.

Luis V. Sintes Martinez  Analista de Seguridad – Vintegris