Las fallas pueden permitir a los hackers desde grabar tus conversaciones hasta la ejecución de comandos.
Desde la grabación de llamadas no autorizadas, ejecución de comandos y la capacidad de modificar las propiedades del sistema y la configuración inalámbrica de los teléfonos, forman parte de las 146 vulnerabilidades de seguridad encontradas en el sistema operativo por parte de la empresa Kryptowire en equipos provenientes de 29 fabricantes.
El descubrimiento se dio como parte de una investigación financiada por el Departamento de Seguridad Nacional (de Estados Unidos). La lista incluye en su mayoría empresas asiáticas y otras internacionales como Samsung y Asus.
Los investigadores de Kryptowire identificaron el Samsung Galaxy S7 como uno de los teléfonos inteligentes con vulnerabilidades incorporadas, aunque que Samsung negó fuera tan grave.
Kryptowire reveló 33 vulnerabilidades en dispositivos Samsung, derivadas de seis aplicaciones preinstaladas, i errores en dos aplicaciones adicionales, pero solo estaban presentes en las imágenes de firmware en las que los malos actores habían inyectado malware y no se incluyeron en el informe final. Dos de esos seis fueron desarrollados por socios externos. Aunque todavía afectan a los dispositivos Samsung, el gigante de la electrónica de consumo dirigió a los investigadores a esas otras compañías.
De acuerdo al CEO de Kryptowire, Angelos Stavrouel mayor problema de estas vulnerabilidades radica en que vienen de origen, es decir, el usuario no afectó su equipo con una app externa y por lo tanto no tiene opciones “debido a que el código está profundamente enterrado en el sistema, en la mayoría de los casos el usuario no puede hacer nada para eliminar la funcionalidad ofensiva”, destacó.
“En la carrera por crear dispositivos baratos, creo que la calidad del software se está erosionando de una manera que expone al usuario final”, destacó Stavrouel en relación a la oportunidad que las compañías grandes tienen de investigar las vulnerabilidades en contra de las muchas que no podrán hacerlo y ponen en peligro su futuro.
Google contestó el informe afirmando que aprecian “el trabajo de la comunidad de investigación que colabora con nosotros para solucionar y revelar de manera responsable problemas como estos”. Google tiene su propio proceso de verificación, llamado Build Test Suite (BTS, como la banda de Kpop), que verifica el software para detectar aplicaciones preinstaladas potencialmente dañinas. BTS se lanzó en 2018, y en su primer año evitó que 242 de esas instalaciones problemáticas llegaran a los consumidores. Kryptowire sugiere que BTS tendría que mejorar en el futuro cercano.
Kryptowire comenzó el largo proceso de notificar a Google y a los 29 fabricantes de sus hallazgos durante el verano y afirmó que o todas las empresas notificadas están de acuerdo “en que los hallazgos son tan preocupantes”.
Te esperamos en los siguientes artículos en donde hablaremos mas acerca de estos temas, los cuales hoy en día son de vital importancia en el mundo de la tecnología.