¿Sueñan los androids con la misma seguridad?
Diversas investigaciones publicadas por F-Secure Labs demuestran que las configuraciones y los ajustes predeterminados específicos para una región, están creando problemas de seguridad en los famosos teléfonos Android. Sin embargo, no todos los usuarios se ven afectados.
Según el director de investigación de F-Secure Consulting del Reino Unido, James Loureiro, la investigación revela los problemas de seguridad que los proveedores pueden sufrir al querer personalizar los teléfonos Android.
“Se supone que los aparatos de la misma marca funcionan igual, independientemente del lugar del mundo en el que uno se encuentre, sin embargo, la personalización llevada a cabo por terceros como Samsung, Huawei y Xiaomi puede conllevar a disminuir significativamente la seguridad estos dispositivos, dependiendo de la región en que fueron configurados o de la tarjeta SIM que incluyan”, afirma Loureiro. “Por ejemplo, hemos observado teléfonos que vienen con más de cien aplicaciones incorporadas por el vendedor. Ello deriva en el aumento del peligro de ataque, el cual varía según la región en cuestión”.
De izquierda a derecha: James Loureiro, Mark Barnes y Toby Drew de F-Secure Consulting.
Insegurad de fábrica
Los proveedores frecuentemente le incorporan sus propias aplicaciones a los teléfonos. Dichos programas pueden ofrecer beneficios adicionales a los usuarios para así diferenciar los celulares de los de la competencia. Sin embargo, esto conlleva desventajas. Éstas pueden ser de peso y mucho más relevantes que el tener con un montón de aplicaciones que tal vez nunca se usen.
Contar con un elevado número de aplicaciones no es precisamente beneficioso en materia de seguridad, ya que ellas aumentan la vulnerabilidad del dispositivo, ofreciendo más blancos atacables. Al fin y al cabo, más funciones pueden causar más problemas. Cuando dichos programas van incluídos en la configuración predeterminada del celular, ellos pueden causar problemas de seguridad en todo el sistema. Por esta razón, James Loureiro y sus colegas fueron capaces de atacar a Mate 9 Pro de Huawei.
El acceso a Google Play está prohibido en China. Esto obliga a los vendedores a ofrecer sus propias appstores. Los dispositivos Huawei tienen una llamada Huawei AppGallery. La investigación de F-Secure Consulting detectó múltiples deficiencias dentro de ella, las cuales pueden ser aprovechadas por un atacante para crear un beachhead y lanzar ataques posteriores. Después de un primer acercamiento, los cibercriminales pueden utilizar las deficiencias adicionales descubiertas en Huawei iReader para ejecutar código y extraer datos del dispositivo electrónico.
Muchos de nosotros quizás creemos que ésta es una situación que afecta sólo a China, debido a las restricciones locales. Sin embargo, la investigación referente al Xiaomi Mi 9 muestra que no es así.
El análisis de F-Secure Consulting revela que, al manipular a los usuarios (por ejemplo, a través del correo electrónico o de mensajes SMS) para que visiten un sitio controlado por un hacker, es posible alterar la configuración predeterminada del Mi 9 de Xiaomi para China, India, Rusia y posiblemente otros países. Al aprovecharse de las falencias descubiertas en la tienda GetApps de Xiaomi, los cibercriminales podrían obtener el control total del dispositivo. La misma investigación analizó un segundo ataque similar realizado a través de etiquetas NFC controladas por el hacker. De ambas maneras, los adversarios consiguieron el acceso requerido para robar datos o instalar malware en los dispositivos comprometidos.
Las sospechosas SIM
Adoptando un nuevo enfoque, los expertos de F-Secure demonstraron un ataque hacia el Samsung Galaxy S9, el cual no dependía de un ajuste o configuración del propio teléfono. Es decir, se basaba en la forma en que el celular modifica su manera de operación para con las diferentes tarjetas SIM. El código del Samsung detecta el código de país móvil (MCC) usado por la tarjeta. Muchas aplicaciones realizan ajustes si detectan un MCC chino (460). En un caso (el mecanismo de actualización del GameServiceReceiver de Samsung), los expertos de F-Secure aprovecharon justamente el cambio para perjudicar al celular.
En este tipo de sutuaciones, un adversario manipula a un usuario de Galaxy S9 para que se conecte a una red Wi-Fi controlada por él (por ejemplo, haciéndole creer que es un Wi-Fi público gratuito). Si el teléfono detecta una tarjeta SIM china, el aparato afectado acepta actualizaciones sin encriptarlas, lo que le permite a un adversario dañar el celular con un llamado “ataque de intermediario”. Si tiene éxito, el hacker tendrá el control total del teléfono.
Dos estándares de seguridad
F-Secure Consulting ha hecho en los últimos años una serie de descubrimientos mientras se preparaba para las competiciones de hacking de Pwn2Own. En ellas, los participantes compiten entre sí poniendo a prueba a los dispositivos electrónicos seleccionados, mediante el uso de puntos vulnerables no dados a conocer previamente (zero-days).
Sin embargo, estas fallas pueden ser gotas en un gran cubo de problemas de seguridad. Según IDC, Android es el sistema operativo más común del mundo para teléfonos portátiles y según sus cálculos, es también el sistema favorito en la actualidad.
Debido a su dominio del mercado mundial de teléfonos inteligentes, éste plantea importantes desafíos en cuanto a problemas de seguridad. El consultor de seguridad senior de F-Secure Consulting, Toby Drew, el cual investigó el ataque a Xiaomi Mi 9, teme que estas diferencias regionales estén creando diferentes niveles de seguridad para los usuarios localizados en diferentes países.
“Es importante que los proveedores consideren las consecuencias en el ámbito de seguridad al personalizar Androids para diferentes regiones”. Los usuarios de una no tienen ni más ni menos derecho a seguridad que los de otra. Si se tiene el mismo celular configurado para proporcionar menor seguridad a los usuarios de una región en comparación con otra, se está creando inequidad al aumentar el peligro de sufrir ataques”, explica Toby.
El investigador de seguridad de F-Secure Consulting, Mark Barnes, el cual también participó de la investigación del Xiaomi Mi 9, recalca que a medida que aumenta el número de androids personalizados, asimismo aumenta la importancia de investigar en temas de seguridad.
“Encontrar problemas como estos en muchos teléfonos conocidos, nos muestra la necesidad de que la comunidad se ocupe de ellos”, explica Barnes. “Nuestra investigación nos corrobora lo problemática que puede ser la proliferación androids personalizados, visto desde la perspectiva de la seguridad”. Es fundamental hacérselo ver a los vendedores de dichos dispositivos electrónicos, pero también a las grandes empresas que operan en diversas regiones del planeta”.
Recomendación
Hasta la fecha, F-Secure no ha recibido reportes o pruebas de que este tipo de ataques hayan ocurrido fuera de su propia investigación. El organizador, ZDI, invita a los vendedores de los productos afectados a participar en los concursos de Pwn2Own y asistir al evento para recibir más detalles sobre los puntos débiles. Gracias a este proceso de divulgación controlado, Huawei, Xiaomi y Samsung han corregido las deficiencias que F-Secure descubrió durante la investigación. Siempre y cuando los usuarios actualicen sus teléfonos, deberían estar a salvo de este tipo de amenazas.
Para mayor información, aquí encuentra una lista de CVEs y avisos relacionados a la investigación. También puede revisar otras investigaciones publicadas en F-Secure Labs:
Huawei Mate 9 Pro
CVE-2018-7931, CVE-2018-7932, CVE-2017-15308, CVE-2017-15309, CVE-2017-15310
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en
https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20180423-01-app-en
Samsung Galaxy S9
CVE-2019-6741, CVE-2019-6742
https://security.samsungmobile.com/securityUpdate.smsb (SMR-JAN-2019/SVE-2018-13474)
https://www.zerodayinitiative.com/advisories/ZDI-19-255/
Xiaomi Mi 9
CVE-2020-9530, CVE-2020-9531
https://sec.xiaomi.com/post/180
Categorías