Asus, Essential, LG y ZTE se han comprometido a corregir los fallos de seguridad encontrados por la empresa de seguridad móvil Kryptowire, según Wired. La investigación de la empresa tenía como objetivo señalar que algunas crisis de seguridad se derivan del código escrito por las compañías telefónicas para modificar Android. Los investigadores encontraron errores en el firmware de 10 dispositivos separados transportados a través de los principales operadores estadounidenses, según Wired, que vio una versión temprana del informe de Kryptowire.
Los fallos de seguridad podrían llevar a un ataque completo, controlar su micrófono y más, aunque la mayoría de los ataques detallados por los investigadores requieren que los usuarios descarguen algún tipo de aplicación maliciosa antes de que puedan aprovecharse de los agujeros presentes en el firmware. Su investigación, financiada por el Departamento de Seguridad Nacional, se presentará hoy en la conferencia de seguridad de Black Hat USA.
Los fabricantes de Android tienen que cuidar más la seguridad
Según Kryptowire, estas vulnerabilidades provienen de la naturaleza abierta de Android, que permite a terceros modificar el código y modificar la interferencia o crear versiones completamente diferentes de Android. Sin embargo, como descubrieron los investigadores, este sistema de estilo abierto también puede generar lagunas en la seguridad de los teléfonos. Wired dice que la investigación considera estos defectos como un problema endémico de Android.
«Mucha de la gente en la cadena de suministro desea poder agregar sus propias aplicaciones, personalizar, agregar su propio sabor», dijo a Wired el gerente general de Kryptowire, Angelos Stavrou. «Eso aumenta la superficie de ataque y aumenta la probabilidad de error de software».
Un ejemplo particularmente malo fue encontrado en el teléfono inteligente Asus Zenfone V Live. Según Wired, Kryptowire encontró suficientes agujeros en su código para exponer a los usuarios a una toma de posesión completa de su dispositivo: capturas de pantalla y grabaciones de video podrían tomarse de su pantalla, y alguien podría, teóricamente, leer y cambiar sus mensajes de texto. Asus dijo que está «al tanto de los recientes problemas de seguridad» y que está «trabajando con diligencia y rapidez para resolverlos» con un parche.
Hay compañías como LG que ya están trabajando en arreglar los problemas
Essential, LG y ZTE respondieron a Wired con declaraciones que decían que habían resuelto algunos o todos los problemas identificados por Kryptowire luego de ser alertados por la empresa. Sin embargo, no está claro si esos parches se han implementado para todos los usuarios, ya que solo AT&T confirmó que había implementado cualquiera de estas actualizaciones. Y como señalan los investigadores, este proceso de actualización, en sí mismo, está roto para muchos, con actualizaciones que a menudo tardan meses en armarse y llegar a los usuarios.
