¿Qué es QuadRooter?

Según el comunicado de la compañía, QuadRooter afecta a equipos con chips de Qualcomm, es decir, los smartphones y tabletas con SoC Snapdragon. Para tener una idea de este problema, el mismo comunicado agrega que Qualcomm cuenta con una participación del 65% dentro de los fabricantes de chips.

QuadRooter es un conjunto de cuatro vulnerabilidades en los drivers de los equipos Android con chips de Qualcomm. Estas permiten un acceso root del atacante al equipo, ya que los drivers controlan la comunicación entre los componentes del procesador.

Debido a que estos drivers son preinstalados en los equipos en el momento de la fabricación, estas vulnerabilidades solo pueden ser arregladas mediante la instalación de parches provenientes del distribuidor o el operador móvil. Estos parches son enviados a los distribuidores u operadores desde la misma Qualcomm.

Dentro de la lista de equipos que podrían estar afectados se encontrarían varios enfocados en la seguridad como el BlackBerry Priv, así como BlackPhone 1 y BlackPhone 2. Incluso GSMArena afirma que podría estar comprometido el BlackBerry DTEK50, recién lanzado y que está basado en la seguridad. Otros equipos comprometidos serían los Nexus 5X, Nexus 6, Nexus 6P, HTC One M9, HTC 10, LG G4, LG G5 y LG V10, Moto X (no se especifica cuál modelo), OnePlus One, One Plus 2 y OnePlus 3, Samsung Galaxy S7 y Galaxy S7 edge así como el Sony Xperia Z Ultra.

La única solución a las vulnerabilidades de QuadRooter es recibir la actualización de seguridad en tu equipo

Según ZDnet, un portavoz de Qualcomm se refirió al tema y dijo que la compañía fabricante de procesadores Snapdragon ya arregló todas los fallos y envió parches de seguridad a clientes, socios y a la comunidad desarrolladora de código abierto entre abril y julio. Estos parches llegaron a los Nexus, mientras que los demás fabricantes ya han hecho lo mismo con sus equipos. Todavía falta una, que llegará con la actualización de seguridad de septiembre.

La compañía de seguridad Check Point lanzó un analizador de QuadRooter con el cual podrás saber si tu equipo está comprometido. Se puede descargar gratis a través de Google Play Store.

Imagen: ENTER.CO.

Varias veces hemos escuchado historias sobre que eso podría cambiar, pero esta vez parece que sí será verdad, pues de acuerdo con información de Bloomberg, Google estaría presionando a los diferentes fabricantes para que mantengan actualizados sus equipos.

Una de las razones más importantes detrás de este interés de Google es que al tener un gran número de celulares con versiones antiguas, existe mayor vulnerabilidad del sistema por la falta de actualizaciones de seguridad.

Por otro lado, muchos usuarios se quedan sin las novedades de cada actualización, lo cual en últimas puede ir en contra de la imagen de Google, pues las mejoras implementadas con cada sistema operativo están pensadas para hacer más amena la experiencia de usuario.

De acuerdo con la nota, Alphabet Inc., la compañía detrás de Google, comenzaría a publicar rankings de cuáles fabricantes se portan mejor en cuanto a las actualizaciones, con el ánimo de presionarlos mediante el escarnio público.

Una de las cosas que probablemente impulse el interés de los fabricantes por tener sus equipos actualizados será la llegada de Daydream, el entorno de desarrollo de realidad virtual que Google anunció la semana pasada durante el Google I/O 2016.

De cualquier forma, este no es un camino fácil, porque los fabricantes y los operadores tienen una gran responsabilidad. Google quiere solucionar esto convenciendo a estas compañías que es lo mejor para los usuarios, en especial por las actualizaciones de seguridad, de acuerdo con Hiroshi Lockheimer, cabeza de Android, en entrevista con Bloomberg durante el Google I/O.

Esperemos que Google logre su cometido y se pueda mejorar el tema de la fragmentación, y además proteger a los usuarios de vulnerabilidades que se pueden corregir con actualizaciones periódicas, para evitar episodios como los de Stagefright.

Imagen:Quinn Dombrowski (vía Flickr).

Desde que los celulares son la pantalla principal en las vidas de todos nosotros, los creadores de malware se pusieron en la tarea de buscar por dónde atacarlos. Y como ningún software es perfecto e invulnerable, se han encontrado muchos ‘huecos’ que permitirían hacer estragos con la información que se almacena en los dispositivos móviles. Entre todos ellos, escogimos tres de los más notorios y mediáticos, bien sea por su alcance, nivel de sofisticación técnica o impacto en la confianza que los consumidores tienen en sus aparatos. Estos son:

Stagefright

Es la tormenta perfecta. Un ataque que podía infectar a todos los Android (que son más de 1.000 millones de dispositivos) y que no requería que el usuario hiciera nada. Simplemente, con recibir un mensaje multimedia, el equipo quedaba a merced del atacante.

La vulnerabilidad atacaba una debilidad en el código fuente de Android, específicamente en la parte que se encarga de procesar algunos contenidos multimedia. Fue descubierta en agosto de 2015 por Zimperium, una empresa de seguridad, y luego fue confirmada por Google. El arreglo ya está en el código de Marshmallow, la versión más reciente de Android, pero eso no garantiza nada por la lentitud con la que suelen llegar los sistemas operativos móviles.

Al menos esta vez la vulnerabilidad se conoce –incluso una segunda versión– y, hasta donde se sabe, no ha sido explotada. Al menos, Google implementó un programa de actualizaciones mensuales para poder reaccionar mejor ante semejantes amenazas. Algo es algo, pero mientras los fabricantes y operadores sigan siendo el cuello de botella que son, el problema seguirá ahí.

XCodeGhost

Las peleas entre iOS y Android podrían reducirse a un debate entre apertura y seguridad. El robot verde da más poder a los usuarios y les permite hacer más cosas, pero a cambio ofrece un entorno más inseguro, en el que las implementaciones de baja calidad y las vulnerabilidades pueden aparecer. El ecosistema de Apple es restrictivo, a veces al punto de ser asfixiante, pero tenía un record de seguridad por el que sacar pecho.

‘Tenía’, decimos, porque los atacantes encontraron un método para pasar por encima de lad encumbradas vallas de la manzana y publicar malware en la App Store. Pusieron en el aire una versión ‘pirata’ de XCode –el compilador de código que sirve para crear apps para iPhone–; tras lo cual varios desarrolladores la usaron y publicaron sus aplicaciones sin problema. El resultado es que los datos personales de los usuarios, que están tranquilos y confiados porque descargan sus apps de la tienda oficial, terminan en un servidor oscuro, listos para ser vendidos en el mercado negro. La vulnerabilidad fue llamada XCodeGhost.

Apple tuvo que sacar decenas aplicaciones de la tienda, y hoy la amenaza parece un tema del pasado. Pero esta historia muestra que nadie es invulnerable.

Ataque de las huellas digitales

Se supone que los lectores de huellas digitales son la última frontera en seguridad de celulares. Son lo suficientemente confiables como para basar en ellos la seguridad de los pagos móviles, y para ser considerados como una medida definitiva contra el robo de celulares. Pero algunos fabricantes, como Samsung o HTC, habían diseñado la tecnología tremendamente mal.

Como cuenta Popular Science, los fabricantes pusieron los datos biométricos en una carpeta que estaba al alcance de cualquier usuario. Allí podían, por ejemplo, ser vistos por una aplicación malintencionada, que lograría fácilmente copiarlos y usarlos para acceder al equipo en otro momento. Eso equivaldría a poner la clave de la caja fuerte al lado de la nevera, o del mostrador de los dulces.

Por fortuna, los investigadores de seguridad se dieron cuenta de la situación y los fabricantes pudieron solucionarla en los equipos con Lollipop.

Imagen: Reservoir Dots (vía Shutterstock), Zimperium, terren in Virginia (vía Flickr), ENTER.CO.

Esta nueva vulnerabilidad permitiría a los atacantes ejecutar código malicioso en los dispositivos afectados, debido a la presencia de dos bugs que son desplegados cuando se procesan archivos MP3 y Mp4 especialmente diseñados para comenzar el ataque.

De acuerdo con el informe de Zimperium, “la vulnerabilidad recae en el procesamiento de los metadatos dentro de los archivos, así que incluso previsualizar la canción o el video (infectado) podría desencadenar el asunto. Debido a que la vía de ataque primario por MMS fue removida en las más recientes versiones de las aplicaciones de Google Hangouts y Google Messenger, la forma más probable de recibir el ataque podría ser el navegador web”

¿Cómo podrías ser víctima de un ataque que aproveche la vulnerabilidad StageFright 2.0?

La vulnerabilidad StageFright 2.0 reside en dos librerías llamadas ‘libutils’ y ‘libstagefright’, que tienen que ver con el procesamiento de archivos multimedia. La primera se encuentra presente en cualquier Android desde 1.0 en adelante, y lo preocupante es que incluso los equipos más nuevos podrían estar comprometidos, dependiendo de qué aplicaciones de terceros y la configuración de fábrica de cada dispositivo. De acuerdo con Zimperium, existen tres escenarios muy probables para ser víctima de un ataque:

1. El atacante trataría de convencerte de visitar una dirección web específica donde se aloja el archivo perjudicial.
2. Un atacante que se encuentre en la misma red tuya podría inyectar el ‘exploit’ por medio de técnicas comunes de interceptación de tráfico (ataques ‘man in the middle’) para el tráfico de red sin cifrar que llega al navegador.
3. Por medio de aplicaciones de terceros como reproductores multimedia o de mensajería instantánea que usen la librería vulnerable.

De acuerdo con la nota de Ars Technica, Google se pronunció frente al tema y afirma que esta nueva ola de bugs de Stagefright será arreglada con una actualización que será lanzada la próxima semana. Es decir, que una vez esta sea liberada, pasarán algunos días hasta que llegue a los equipos Nexus, que la próxima semana ya podrán actualizarse a Android 6.0 Marshmallow, y se demorará un poco más en llegar a los equipos de los demás fabricantes.

No sobra recordar que la primera puerta de entrada a los atacantes a nuestros equipos somos los usuarios, y por eso es importante tener medidas básicas de seguridad como no instalar aplicaciones de terceros si no confiamos en la fuente de donde provienen, así como ser precavidos a la hora de pulsar en enlaces o publicidad.

Imagen: Julien Tromeur (vía Shutterstock).

Cómo instalar la actualización de seguridad de Google en tu dispositivo Nexus

En caso de que no te haya llegado la notificación de actualización, simplemente debes ir a ajustes, acerca del teléfono –o tableta, según sea el caso–, actualizaciones del sistema y seguir las instrucciones. Esta actualización, al ser de seguridad, no es muy pesada y demorará poco en descargar e instalarse.

Es decir, con la actualización de seguridad, tu dispositivo Nexus se mantendrá en la misma versión de software, que actualmente es Android 5.1.1 Lollipop. Es probable que tu dispositivo no se actualice de manera inmediata y esto es debido a que Google libera la actualización en lotes. Sin embargo, si no ha llegado, lo hará en los próximos días.

Es muy importante que, igualmente, tomes medidas de seguridad en tu dispositivo para evitar futuras amenazas. Debes desactivar de la recepción automática de MMS y la descarga automática de archivos multimedia de aplicaciones como WhatsApp. Este procedimiento lo explicamos en un artículo anterior que habla sobre cómo defenderte del fallo de seguridad Stagefright.

Es probable que en las próximas semanas comencemos a ver las actualizaciones de seguridad que prometieron varios fabricantes a sus equipos más importantes, como es el caso de Samsung, si bien muchos otros también lo harán. En este caso, a diferencia de los Nexus, las actualizaciones deberán pasar por la aprobación de los operadores de telefonía celular.

Imagen: Kārlis Dambrāns (vía Flickr).

A diferencia de otros ataques, donde se necesita que el usuario abra un archivo específico, esta vulnerabilidad no requiere de ninguna acción del usuario, y hace uso de una funcionalidad de Android que permite recibir archivos de video y tenerlos listos para cuando el usuario quiera reproducirlos. Estos ataques llegan por medio de MMS y pueden ser hechos sin que el usuario tenga que hacer algo. Por esta razón, los fabricantes han comenzado a establecer ciertos procesos de actualización periódica a sus equipos, pero antes de que llegue esta a tu dispositivo, puedes tomar algunas acciones para protegerte ante estas amenazas.

¿Cómo proteger tu Android del fallo de seguridad StageFright?

Lo primero que debes hacer es revisar las actualizaciones de tu equipo, pues es probable que en los próximos días -o semanas- recibas una actualización por parte de tu fabricante. Adicionalmente, ten cuidado a la hora de descargar contenido multimedia de tu correo o aplicaciones de mensajería, en especial cuando no conoces al remitente.

Puedes verificar si tu equipo es vulnerable al fallo StageFright por medio de la aplicación StageFright detector, desarrollada por Zimperium. Es muy probable que el resultado sea que efectivamente tu equipo es vulnerable, pues el fallo se puede presentar en equipos con Android 2.2 en adelante. Así que no te debes alarmar y por el contrario ser consciente del cuidado que hay que tener.

Para evitar recibir MMS que puedan poner en riesgo la seguridad de los datos de tu equipo, debes desactivar la ‘recuperación automática de MMS’ en la configuración de tu aplicación de mensajes de texto. En el caso de que tu aplicación por defecto sea Google Hangouts, debes hacerlo a través de la configuración de esta aplicación.

Desactiva la recuperación automática de MMS y video en tus aplicaciones

Adicionalmente, te recomendamos desactivar la descarga automática de video en WhatsApp para Android. Para hacerlo, debes ir a ‘Ajustes’, ‘Ajustes de chat’, ‘Descarga automática’ y desactivar video en todos los casos (conectado a datos móviles, conectado a Wi-Fi y en itinerancia de datos).

Con estos pasos, podrás estar un poco más a salvo mientras tu fabricante y operador permiten la llegada de las actualizaciones de seguridad a tu equipo.

Imagen: Zimperium.