Fallos en Android permiten saber dónde has estado y hacer llamadas sin tu permiso

Cuando hablamos de seguridad en dispositivos móviles, Android sigue siendo el sistema operativo más mencionado debido a la relativa cantidad de fallos descubiertos cada cierto tiempo. Hoy vamos a ver dos de las vulnerabilidades que más han dado de que hablar en los últimos días.

androidgingerbread-623x432

Espiando nuestro historial de conexión

Una de las características incorporadas en las últimas versiones de Android podría poner nuestra privacidad en riesgo, según informa la Electronic Frontier Foundation. Al parecer, nuestros teléfonos estarían emitiendo un histórico de ubicaciones donde hemos estado, incluso aunque lo tengamos en reposo con la pantalla apagada y sin conectar a una red Wi-Fi.

Según informan desde esta organización, existe un alto riesgo de que nuestro móvil esté propagando a los cuatro vientos este histórico de ubicaciones en las que hemos estado a cualquiera que quiera escucharlo. Se verían afectados por este fallo las versiones de Android 3.1 y posteriores, versión donde se incorporó una característica diseñada para conservar la batería y conectarse fácilmente a redes Wi-Fi conocidas.

Saber las últimas 15 redes Wi-Fi a las que nos hemos conectado

Los dispositivos Android afectados por este fallo continúan transmitiendo información sobre las últimas redes Wi-Fi a las que nos hemos conectado, concretamente las últimas 15 redes. Esta información se presenta de forma clara, sin tener que analizar en complejos paquetes de datos, y permitiría a un posible atacante saber rápidamente que la víctima ha hecho uso recientemente de una Wi-Fi pública o se ha conectado a una red doméstica o corporativa.

Esto permitiría preparar un ataque elaborado conociendo los puntos de acceso del usuario y, por ejemplo, realizar un ataque Man-in-the-Middle sobre una red a la que se sepa que el usuario se conecta frecuentemente. Puede parecer un tanto exagerado tomarse tantas molestias, pero cuando hablamos de ataques dirigidos sobre objetivos concretos esta información es una muy valiosa.

Desactivando esta característica vulnerable

A pesar de que esta característica se desarrolló pensando en ayudar a resolver uno de los mayores problemas a los que se enfrentan actualmente los smartphones, como es la duración de la batería, el riesgo que supone mostrar públicamente esta información hace aconsejable desactivarla hasta que se encuentre una solución.

Para ello deberemos ir al menú Ajustes del sistema > Conexiones inalámbricas y redes > Wi-fi > Ajustes avanzados y, en la opción Usar Wi-Fi en suspensión, seleccionar Nunca. El único inconveniente al desmarcar esta opción es que si tenemos activado tanto el uso de datos como el de Wi-Fi al mismo tiempo, se dará preferencia al uso de datos con el consecuente aumento de uso de la batería, nada que no se pueda evitar seleccionando manualmente nuestra conexión preferida.

opcion_marcada

También se recomienda hacer una limpieza periódica del listado de redes Wi-Fi que no deseemos que se muestren, tanto si son domésticas, corporativas o públicas, ya que de nada sirve ocultar su identificador SSID si luego lo vamos propagando a los cuatro vientos.

Realizar llamadas no autorizadas sin los permisos necesarios

La otra vulnerabilidad que ha dado de que hablar estos últimos días también se encuentra presente en la mayoría de versiones de Android y permitiría que aplicaciones maliciosas pudieran realizar llamadas desde el dispositivo del usuario, incluso sin tener los permisos necesarios para hacerlo.

Esta vulnerabilidad fue identificada a finales del año pasado y Google fue informado de ella por parte de la empresa alemana de seguridad Curesec. En esencia, este fallo de seguridad permitiría a una aplicación instalarse en nuestro dispositivo Android sin solicitar ningún tipo de permiso para realizar llamadas, pero pudiendo realizarlas a números de tarificación especial o incluso permitiendo cortar las llamadas en curso.

Funcionalidades adicionales de esta vulnerabilidad

El fallo no termina ahí, puesto que también permite enviar y ejecutar el siguiente tipo de comandos:

  • Unstructured Supplementary Service Data (USSD)
  • Supplementary Service (SS)
  • Códigos Manufacturer-defined MMI (Man-Machine Interface)

Estos códigos especiales pueden usarse para acceder a varias funciones especiales del dispositivo o de la operadora que presta el servicio de telefonía, algo que los convierte en especialmente peligrosos en malas manos, permitiendo el desvío de llamadas, bloqueo de nuestra tarjeta SIM o la activación / desactivación de las llamadas anónimas, entre otras posibilidades.

Android-Vulnerability_Curesec

Varias versiones de Android afectadas

Las versiones de Android que se ven afectadas por esta vulnerabilidad son numerosas y los investigadores han encontrado dos maneras diferentes para explotarlas y conseguir los mismos fines, uno para versiones modernas del sistema y otro para versiones más antiguas.

En las versiones recientes de Android este fallo se introdujo en la versión 4.1.1, también conocida como Jelly Bean, permaneciendo activo hasta la versión 4.4.2 KitKat hasta que Google lo arreglo en la reciente versión 4.4.4. Por su parte, existe otro fallo en las versiones más antiguas de Android como las 2.3.3 o 2.3.6 pertenecientes a la rama Gingerbread. A pesar de tratarse de versiones antiguas, aún son utilizadas en móviles de bajo coste en mercados emergentes como China, Rusia o Brasil. Este fallo no dispone de una solución que esté disponible para un gran porcentaje de estos dispositivos, por lo que la situación se agrava en estos terminales.

El problema de las actualizaciones

Como siempre que se descubre un fallo similar muchos investigadores recomiendan actualizar si se dispone de una versión que solucione las vulnerabilidades. No obstante, realizar esta tarea que debería ser aparentemente sencilla se vuelve imposible en muchas ocasiones. Todo esto está ocasionado por la dependencia, en la mayoría de los casos del fabricante u operadora encargados de distribuir esta actualización entre sus usuarios una vez Google ya ha publicado una nueva versión.

De todos es conocido la elevada fragmentación del sistema Android con miles de dispositivos de otros tantos fabricantes. La mayoría de estos dispositivos ven como el tiempo durante el que reciben las actualizaciones es bastante corto, y eso si tienen suerte y las reciben. La cantidad de usuarios de Android que se queda anclado en versiones antiguas y vulnerables es abrumadora, siendo una minoría la que puede actualizar a la versión más reciente.

Ante este panorama el usuario siempre puede optar por saltarse las restricciones impuestas por el sistema, obtener el control total del dispositivo mediante el rooteo o incluso instalar una rom alternativa mantenida por la comunidad. No obstante, esto implica tener una mayor conciencia sobre el uso del dispositivo, puesto que un uso irresponsable puede terminar en convirtiéndolo en un caro pisapapeles.

Josep Albors

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..