Se puede hackear a los smartphones Samsung Galaxy aprovechando una vulnerabilidad de SwiftKey


Una vulnerabilidad en un software integrado a los smartphones Galaxy de Samsung permite a los piratas informáticos acceder a la cámara y micrófono de dichos dispositivos, además de leer los mensajes de texto entrantes y salientes e incluso instalar aplicaciones sin conocimiento de los usuarios, lo que significaría que alrededor de 600 millones de teléfonos estarían expuestos a sufrir un ataque de ejecución de código en forma remota.

La grieta en el sistema de seguridad de estos equipos fue puesta en evidencia el martes por Ryan Welton, un miembro del equipo de Investigación y Desarrollo en NowSecure, durante la conferencia de seguridad móvil BlackHat 2015 que se está llevando a cabo en Londres.

galaxy hacker

De acuerdo con lo expuesto por Welton, la infiltración es posible gracias a una vulnerabilidad en el mecanismo de actualización de una versión a medida del software SwifKey para operar el teclado Android de la compañía surcoreana, que se encuentra disponible en los Samsung Galaxy S6 y S5, entre otros modelos.

El investigador reveló que, cuando se produce la descarga de actualizaciones, dichos smartphones no realizan el cifrado del archivo ejecutable, lo que le da a los hackers la capacidad de modificar el tráfico de subida del aparato y de aquellos que comparten la misma red WiFi, permitiéndoles reemplazar el archivo legítimo con contenido malicioso.

Para colmo de males, el software del teclado no se puede desactivar o desinstalar. E incluso la vulnerabilidad puede ser explotada aún cuando no se configura el uso por defecto del teclado.

En realidad, la noticia sobre esta vulnerabilidad no es nueva, ya que fue hecha pública inicialmente por el propio Welton a través de un video en YouTube difundido a fines de 2014, época en la que también se informó a Samsung del problema que afecta a millones de sus dispositivos móviles.

Sin embargo, el hecho cobró notoriedad ayer a través de la exposición hecha en la conferencia BlackHat, que coincidió con una publicación hecha en el blog oficial de NowSecure, en la que se detalla la manera en que este error permitiría a los hackers apoderarse de los Samsung Galaxy.

Si bien Samsung comenzó a proporcionar un parche a los operadores de redes de telefonía móvil a principios de 2015, hasta ahora no se sabe si aquellos lo han entregado a los dispositivos Galaxy de su red. A esto se suma el hecho de la dificultad que implica determinar el número de usuarios de móviles que continúan siendo vulnerables, debido en parte al gran número de operadores de redes a nivel mundial.

Vulnerabilidad en Samsung Galaxy: La respuesta de SwiftKey

SwiftKey, por su parte, emitió un comunicado para referirse a la vulnerabilidad presente en modelos de la familia insignia de los móviles de Samsung, aclarando que la misma “no está relacionada y no afecta a nuestras aplicaciones SwiftKey disponibles en Google Play y la App Store de Apple”.

De acuerdo con lo informado por la compañía, sólo se proveyó a Samsung la tecnología base que permitía introducir la capacidad predictiva de texto en el teclado, y que al parecer “la forma en que esta tecnología se ha integrado en los dispositivos Samsung introdujo la vulnerabilidad de seguridad.”

Asimismo, aclaró que la falla detectada no es fácil de explotar, ya que requiere que un usuario esté conectado a una red (como una red pública WiFi falsificada), “donde un hacker con herramientas adecuadas ha tratado específicamente tener acceso a su dispositivo”.

Según la respuesta de SwiftKey, el acceso sólo es posible si el teclado del usuario está realizando una actualización justo en ese momento, mientras esté conectado a la red comprometida.

Fuente: NowSecure




Ruben

Rubén es editor del sitio desde el año 2010. Colabora regularmente escribiendo noticias sobre tecnología, software, negocios, gadgets y ciencia. Sus intereses son Tecnología y Relaciones internacionales, tópico con el que también colabora en otros medios de publicación web.

Puede interesarte

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *