La historia comienza a finales de la semana pasada, cuando un desarrollador del foro XDA descubrió una vulnerabilidad de seguridad en los procesadores Exynos 4 que permite obtener acceso a toda la memoria física del dispositivo. Utilizándola, un usuario malintencionado podría desde dejar el teléfono inservible hasta obtener copias de la información almacenada en él, con las consecuencias de privacidad que eso tendría.

Este miércoles, Samsung confirmó la vulnerabilidad y afirmó –en una comunicación enviada a Android Central– que “planea ofrecer una actualización de software que la solucione tan pronto como sea posible“. Según BGR, esta vulnerabilidad podría ser explotada, por ejemplo, por una aplicación contaminada que filtre información del usuario o instale código malicioso en la información de registro del dispositivo.

Buena parte de la plana mayor de dispositivos móviles de Samsung tiene ese procesador y por lo tanto es vulnerable: casi todas las versiones del Samsung Galaxy S III, el Galaxy Note II y la tableta Galaxy Note 10.1 lo incluyen. Un moderador de ese foro ya creó un exploit que instala una aplicación en el dispositivo, aunque no se tiene noticia de apps que utilicen el ‘hueco’ de seguridad para fines maliciosos.

Sin embargo, como anota el fabricante, “el problema no afecta a la mayoría de los dispositivos que operan con aplicaciones creíbles y autenticadas“. Por eso, nuestra recomendación siempre es la misma: no descargue aplicaciones para Android de tiendas sospechosas.

Con solo acercar un Samsung Galaxy S III con Ice Cream Sandwich (Android 4.0.4) a otro dispositivo con NFC, el smartphone podría infectarse con un archivo malicioso que tiene acceso a toda la información importante de un usuario. El hueco de seguridad fue probado por un equipo de la firma de seguridad MWR InfoSecurity en un evento en Amsterdam, y reportada en el sitio Web de la empresa.

El archivo malicioso, una vez transmitido a través de NFC, aprovecha una primera vulnerabilidad para ejecutarse automáticamente en el móvil infectado. Por medio de un segundo hoyo de seguridad, el archivo malicioso obtiene privilegios sin que el usuario se dé cuenta. Luego logra acceso a la agenda, las fotografías, los mensajes de texto y los archivos almacenados en la memoria interna; se conecta a un servidor y permite enviar una copia de los contenidos del teléfono.

Los atacantes “básicamente pueden hacer cualquier cosa con el teléfono“, le dijeron los investigadores a un sitio Web denominado TechHive. Una de las vulnerabilidades explotadas está presente en un programa preinstalado en el S III, y en otros teléfonos como el Galaxy S II y algunos modelos de HTC, para previsualizar documentos. El archivo infectado también puede llegar al teléfono como un adjunto de un correo electrónico o como una descarga de Internet.

Pero calma: hasta ahora no hay motivos para preocuparse. Este exploit fue descubierto por primera vez en el evento, y no hay evidencia que haya sido usado antes en ningún dispositivo. De hecho, los detalles técnicos completos de la vulnerabilidad aun no han sido publicados, pues los investigadores le están dando tiempo a Google y Samsung de solucionar el asunto.

Además, el ataque fue reproducido en un ambiente controlado. Gracias a una característica de seguridad de Android que distribuye de forma aleatoria en la memoria las partes críticas de la memoria, es muy improbable que un equipo quede infectado cuando el ataque se intenta la primera vez. De hecho, en las pruebas fue necesario llevar a cabo más de 100 intentos.

En el mismo concurso también fue vulnerada la seguridad de las fotos, contactos e historial Web de un iPhone 4S con iOS 5.1.1 o la versión de desarrolladores de iOS 6.  Esta vez, la vulnerabilidad explotada estaba en el navegador Safari, que utiliza webkit. Eso indica que es posible que el exploit también funcione en teléfonos Android y BlackBerry, que utilizan el mismo tipo de navegador.

El equipo que encontró la vulnerabilidad se ganó un premio de 30.000 dólares por el descubrimiento.