CNET también está disponible en español.

Ir a español

Don't show this again

Celulares

Estos celulares Android vienen con vulnerabilidades preinstaladas

Fallas de seguridad incluidas, no se requiere ensamblaje.

El panel de la pantalla del Essential Phone

Investigadores de seguridad de Kryptowire dijeron que descubrieron 38 vulnerabilidades en 25 teléfonos Android, todas ellas en aplicaciones preinstaladas.

Juan Garzón/CNET

Mantener tu teléfono a salvo de aplicaciones maliciosas es bastante difícil y Google pasa mucho tiempo eliminando cientos de miles de aplicaciones malas cada año.

Tu teléfono es un objetivo atractivo. Las aplicaciones abren una gran cantidad de acceso a tus dispositivos, llegando a tus contactos, tu ubicación y tu uso de datos, entre muchos otros detalles privados que compartes con el teléfono. Así que puedes imaginarte cuán desafiante se vuelve cuando hay aplicaciones con vulnerabilidades de seguridad que vienen preinstaladas en múltiples teléfonos Android.

Investigadores de seguridad de Kryptowire, una firma de seguridad, encontraron 38 vulnerabilidades diferentes que pueden permitir el espionaje y reinicios de fábrica cargados en 25 teléfonos Android, 11 de ellos vendidos por las principales operadoras estadounidenses. Eso incluye dispositivos de Asus, ZTE, LG y Essential Phone, que son distribuidos por operadores como Verizon o AT&T.

Las vulnerabilidades son solo el último golpe para Android, que adolece de la percepción de que es una plataforma móvil menos segura que iOS de Apple. Google ha trabajado para reparar su imagen, forzando actualizaciones de seguridad para los proveedores y eliminando aplicaciones maliciosas, pero este tipo de revelaciones no ayudan. También es un recordatorio de que los consumidores deben estar más atentos cuando se trata de proteger la información en sus dispositivos móviles.

Angelos Stavrou, director ejecutivo de Kryptowire, y Ryan Johnson, director de investigación de la firma, revelaron sus hallazgos hoy durante la conferencia de hackers DEFCON.

"Todas estas son vulnerabilidades que están preposicionadas. Vienen tan pronto sacas el teléfono de la caja", dijo Stavrou. "Eso es importante porque los consumidores piensan que solo están expuestos si descargan algo malo".

Una portavoz de Essential dijo que la compañía solucionó estos problemas una vez que Kryptowire se acercó a ellos. Un portavoz de LG dijo que la compañía ha estado introduciendo parches de seguridad para solucionar las vulnerabilidades.

"ASUS es consciente de los recientes problemas de seguridad de ZenFone y está trabajando diligente y rápidamente para resolverlos con actualizaciones de software que se distribuirán por aire a nuestros usuarios de ZenFone", dijo un portavoz de ASUS en un comunicado.

ZTE no respondió a una solicitud de comentarios. AT&T no quiso hacer ningún comentario y Verizon no respondió a una solicitud de comentarios.

"Los problemas que han descrito no afectan al sistema operativo Android en sí, sino a códigos de terceros y aplicaciones en dispositivos. Junto con Kryptowire, hemos contactado a los socios afectados de Android para abordar estos problemas", dijo un portavoz de Google en un comunicado.

Fallos por defecto

Los piratas informáticos podrían explotar las vulnerabilidades preinstaladas, registrar pantallas, tomar capturas de pantalla, restaurar un dispositivo o restablecer la configuración de fábrica, o robar información privada haciendo que la víctima descargue una aplicación maliciosa, dijo Johnson. También podrían obtener registros de lo que una persona estaba escribiendo, leyendo y con quién está en contacto.

Teniendo en cuenta que miles de personas se decantan por aplicaciones maliciosas que se presentan como herramientas inofensivas como una linterna o juegos populares como Fortnite, hacer que las personas descarguen el tipo de aplicación maliciosa adecuada no es difícil, señaló.

Si bien la mayoría de las aplicaciones no pueden acceder a los archivos protegidos, pueden usar los defectos de estas aplicaciones preinstaladas como aperturas para ingresar, dijo Johnson en una entrevista previa a DEFCON.

Parte del problema es que los fabricantes de teléfonos tienen libertad para colocar las aplicaciones que deseen en los dispositivos que están vendiendo. Si bien Google puede patrullar su Play Store y bloquear malware o aplicaciones con fallas de seguridad, no tienen mucho control sobre lo que viene empaquetado en los dispositivos, dijeron los investigadores.

"Cualquier proveedor puede crear una versión de Android", dijo Johnson. "Algunas de esas aplicaciones preinstaladas pueden no tener el control de algo que Google crea con sus propias aplicaciones."

Todo tipo de vulnerabilidades

Debido a que hay tantos fabricantes de teléfonos Android, es difícil para Google –y los investigadores– realizar un seguimiento de todas las aplicaciones preinstaladas, dijo Johnson. Algunos proveedores hacen un mejor trabajo que otros asegurándose de que sus aplicaciones preinstaladas sean seguras.

Las vulnerabilidades son diferentes en todos los teléfonos, ya que todas tienen diferentes aplicaciones preinstaladas, dijeron los investigadores de Kryptowire.

Algunas son graves, como la del Essential Phone, que tenía una vulnerabilidad que permite a un atacante realizar un reinicio de fábrica de un dispositivo. El error viene gracias a una aplicación preinstalada con un nombre de archivo "com.ts.android.hiddenmenu". Cualquier aplicación en el dispositivo podría acceder a esa aplicación preinstalada y usarla para llegar al sistema de Essential Phone y eliminar todos los datos almacenados en ella, dijo Stavrou.

Otras vulnerabilidades, como las del ZenFone 3 Max de ASUS, permiten que las aplicaciones instalen cualquier otra aplicación a través de Internet, obtengan contraseñas de Wi-Fi, configuren registradores de pulsaciones de teclas, intercepten mensajes de texto y realicen llamadas telefónicas. Esto también fue el caso en el ZenFone V y ZenFone 4 Max y Max Pro, según los investigadores.

Podría haber más por ahí, anotaron los investigadores, considerando que no han analizado todos los dispositivos Android disponibles. Con más de 24,000 tipos diferentes de dispositivos Android registrados en 2015, sería una tarea monumental ejecutar escaneos de vulnerabilidades en cada uno de ellos.

"Como usuario final, no hay mucho que tú puedas hacer", dijo Stavrou. "Alguien tendría que escanear y analizar tu firmware para encontrar las vulnerabilidades".