Los ataques más habituales a los smartphones suelen llegar por apps descargadas de la tienda online o por spam que se cuela por el correo. Pocas veces pensamos en el procesador como un punto débil. Sin embargo, ahora la empresa especializada en seguridad Check Point ha descubierto más de 400 vulnerabilidades críticas en los procesadores de estos aparatos.
Los procesadores de un móvil son algo más complejo que un simple chip. En ellos se integran muchos componentes (es el llamado system on a chip o SoC). Pues bien, los fallos de seguridad detectados por Check Point tienen que ver con uno de ellos: el DPS o procesador de señal digital.
Se trata de un elemento que gestiona el audio del aparato y también el multimedia. Y permite, entre otras cosas, habilitar opciones de sonido, reconocimiento de voz, captura de imágenes y la carga rápida de la batería.
Los expertos de Check Point alertan en su investigación de que los chips con DPS son mucho más vulnerables a los riesgos, ya que se gestionan como "cajas negras", por lo que revisar y comprobar su diseño, funcionalidad o código es muy complejo para cualquier persona ajena al fabricante.
Para controlar el teléfono, los ciberdelincuentes solo necesitan que el propietario se descargue una aplicación sencilla que no requiere permisos y parece de fiar. De esta manera, tendrán el camino libre para utilizar el teléfono de la víctima y espiarla sin necesidad de interacción con ella. Y podrán extraer fotografías, vídeos y datos de localización y GPS, entre otras cosas. Incluso podrán grabar llamadas o activar el micrófono.
Los atacantes también pueden bloquear la información almacenada en el teléfono, de forma que no esté disponible para su dueño. Algo similar a lo que pasa en un ataque de ransomware. Y tienen la posibilidad de usar el smartphone para insertar malware que impida detectar las actividades maliciosas que el cibercriminal esté llevando a cabo desde el teléfono. De esta manera, podrían convertir cualquier teléfono en un zombi a sus servicios.
La industria ha reconocido estas brechas de seguridad y ya tiene solución para ellas. Por su parte, desde Check Point advierten de que ahora es necesario que los fabricantes integren parches en la cadena de fabricación. No conviene que la cifra de teléfonos expuestos siga creciendo.
Google también descubrió en marzo una vulnerabilidad crítica presente en decenas de modelos de procesadores para smartphones y tabletas, y la publicó en su boletín de seguridad de Android de ese mes. En este caso, la vulnerabilidad se encontraba en los drivers que gestionan la cola de comandos del chip. Así, los ‘malos’ tienen muy fácil acceder al kernel de Linux, lo que les permite establecer una configuración del aparato muy permisiva y, de esta forma, evitar los mecanismos de seguridad de Android.
Imagen | iStock.com/fizkes