El 30% de móviles del mundo ha estado en peligro y ni nos hemos enterado

En la estupenda 007: El Mañana nunca Muere, James Bond se enfrentaba a uno de los villanos más peligrosos y realistas que ha tenido la saga: Un villano ‘mogul’ de los Medios de Comunicación dueño de periódicos, cabeceras, webs y capaz de publicar ‘fake news’ para cambiar situaciones geo-políticas a placer. 24 años después, ese villano no puede ser más real, porque en la época actual que vivimos, quien controla noticias y recaba millones de datos personales es quien tiene el mayor poder de la Era 3.0 que vivimos.

Un 30% de todos los móviles en peligro

¿Y si alguien pudiera hacer lo mismo que hacía Batman al final de El Caballero Oscuro, cuando activa el dispositivo que le permite escuchar cada móvil de Gotham? Algo parecido sucedió en octubre de 2020, cuando la agencia de ciberseguridad Check Point Research se dio de bruces contra un fallo de seguridad gravísimo, una vulnerabilidad presente en los módem de la popular Qualcomm -autora del procesador Snapdragon entre otros, usado en la gran mayoría de terminales Android- que permitía a un atacante que supiera aprovecharla tener acceso tanto al historial de llamadas como a los SMS y a las conversaciones de millones de smartphones en el mundo.

E incluso podría aprovecharla para desbloquear la SIM, superando así las limitaciones impuestas por los proveedores de servicio. De hecho, la gravedad se hacía palpable al ponerla en números, ya que ese fallo afectaba a un 30% de todos los móviles en activo en el mundo, 3 de cada 10 nada menos. Un fallo del que el gran público no se ha enterado hasta hoy, mayo de 2021, 8 meses después.

La vulnerabilidad del módem Qualcomm

Según un extenso post técnico-forense sobre el problema en su blog, el problema es que el fallo descubierto podría permitir a una aplicación maliciosa parchear el software de los chips de módem MSM de Qualcomm, dándole acceso al historial de llamadas y mensajes de texto o incluso la posibilidad de grabar conversaciones.

Se encontraron vulnerabilidades en las conexiones entre la capa de software Qualcomm Modem Interface (QMI) del módem y el servicio de depuración, lo que permite parchear dinámicamente el software y saltarse los mecanismos de seguridad habituales.

Las aplicaciones estándar de terceros no tienen privilegios de seguridad para acceder a QMI, pero si se comprometieran aspectos más críticos de Android, se podría utilizar este ataque. Con las vulnerabilidades que encontraron, los investigadores determinaron que una aplicación maliciosa podría:

- Escuchar y grabar una llamada telefónica activa

- Obtener registros de llamadas y SMS

- Desbloquear una tarjeta SIM.

Check Point estima que el software QMI que descubrió como vulnerable está presente en móviles  de proveedores como Samsung, Google, LG, OnePlus y Xiaomi, entre otros. Si bien los métodos de este ataque se describieron en términos generales, la información específica necesaria no se incluyó en el informe para evitar que alguien pueda duplicar fácilmente el proceso.

¿Mi móvil está en peligro? ¿Escuchan mis llamadas?

Check Point Research ha revelado la hoja de ruta de su investigación, señalando que el 8 de octubre encontró el fallo y lo envió a Qualcomm, que tras investigarlo con sus expertos confirmó el problema el 15 de octubre, pero no fue hasta ayer, 6 de mayo, cuando todo esto se hizo público.

Según Qualcomm, la vulnerabilidad fue parcheada en diciembre de 2020 y enviada a las fabricantes de móviles ese mes, y muchas de estas “ya han enviado las actualizaciones de seguridad pertinentes para sus usuarios”, agregando que “no hay pruebas específicas de que la vulnerabilidad descubierta por Check Point esté siendo usada”.

De acuerdo, ese fallo no está siendo explotado ahora mismo, pero ¿y antes? Porque Check Point lo descubrió en octubre de 2020, y no fue arreglado hasta dos meses después. Y tampoco sabemos en qué actualización de seguridad fue incluido ni las compañías que lo distribuyeron. Ni tampoco los modelos y móviles.

Este es otro ejemplo más de una realidad que nos supera, la de enterarnos de fallos y problemas de seguridad graves DESPUÉS que hayan sucedido, en estos casos meses incluso. ¿Cuándo todas las compañías dejarán de decidir por nosotros y decirnos claramente ‘ha sucedido este fallo, lo estamos reparando’, como sí hacen algunas?