Android, vulnerable a ataques al cargar imágenes ISO

Ingenieros de seguridad afirman haber descubierto fallos importantes en muchos de los terminales móviles Smartphone que actualmente son comercializados con el sistema operativo Android, permitiendo ataques a posibles grabaciones de llamadas, envío de mensajes SMS, así como acceso a los datos de los usuarios.

Algunos investigadores informáticos de la Universidad del Estado del Norte de California probaron diversos teléfonos de diferentes fabricantes, entre los que se incluían modelos de Samsung, HTC y Motorola, y cuál fue la sorpresa cuando encontraron que el modelo de seguridad basado en permisos no era el apropiado para controlar los accesos a los teléfonos. Parece ser que el problema reside en la imagen del sistema operativo que despliegan relacionada con las APIs de su framework particular y la personalización que realizan del terminal.

En ausencia de un proceso de depuración de aplicaciones, los teléfonos Android se basan en un modelo de permiso de seguridad que requiere de cada aplicación para solicitar explícitamente los permisos antes de que puedan ser instaladas. Estas capacidades de filtrado pueden ser fácilmente explotadas para borrar los datos del usuario, o bien, enviar mensajes SMS a números de teléfono auxiliares.

El uso de una herramienta denominada Woodpecker, hizo posible que los investigadores encontraran que de los 13 permisos de ejecución que forman parte del proceso, 11 de ellos pudieran ser explotados. Estas capacidades de filtrado pueden ser explotadas con todo tipo de sucesos. Además de las ya comentadas, cabe destacar la que obtiene información de los datos de geolocalización de los teléfonos afectados sin que la aplicación informe al usuario del envío de dicha información.

El estudio tiene en cuenta tan sólo las aplicaciones que son precargadas en el firmware del teléfono. Así pues, es de esperar que una vez que el usuario accede a instalar aplicaciones de terceras partes, la problemática de la seguridad se ve afectada en mayor medida.