Esta semana, Android volvió a acaparar titulares negativos. La empresa de origen israelí Check Point Software, la misma que descubrió los programas maliciosos creados por una empresa de publicidad china en julio, anunció el hallazgo de cuatro vulnerabilidades que comprometen a 900 millones de dispositivos, es decir, casi la séptima parte de la población mundial, y alrededor del 64 por ciento de los 1.400 millones de teléfonos equipados con el sistema operativo de Google.
Las fallas fueron encontradas en el programa que permite la operación de los procesadores de la marca estadounidense Qualcomm. A esta pieza de ‘software’ se le conoce como ‘controlador’ en los círculos especializados.
(Además: Falla de Android afecta a la séptima parte del mundo)
Adam Donenfeld, investigador de Check Point Software, tomó el escenario de la conferencia de hacking más grande del mundo, ‘Def Con’, el pasado 7 de agosto, y expresó, con tono trémulo, que cerca del 90 por ciento de los aparatos utilizan chips de la marca Qualcomm. Esto incluye nombres como Samsung, HTC, LG, Sony, BlackBerry, Huawei y Motorola. La vendieron como una gran amenaza, pero ¿lo es?
Al conjunto de vulnerabilidades se las bautizó con un nombre digno de un villano de los cómics: ‘Quadrooter’. ¿Qué significa? ‘Quad’ se refiere a cuatro, y ‘rooter’ alude a que las brechas permitirían, de ser aprovechadas, acceso a la ‘raíz’ del sistema Android (raíz en inglés es ‘root’).
Acceder a la raíz del sistema garantizaría que un atacante obtuviera “permisos de administrador sobre el dispositivo, para realizar modificaciones al sistema operativo, a sus aplicaciones y configuraciones, entre otros”, explican los expertos de la compañía de seguridad Eset.
Pero puede respirar tranquilo: sacar provecho de esos puntos débiles, por fortuna no es tan sencillo. Lo que los cibercriminales podrían hacer es diseñar una aplicación maliciosa que tome ventaja de las fisuras en mención. La víctima tendría que bajar esa app dañina en su equipo móvil e instalarla. Solo en ese caso, un posible atacante lograría su cometido.
Jeff Zacuto, evangelista de Check Point Software, le dijo a EL TIEMPO que no se ha confirmado ningún caso de una persona que haya caído presa de cibercriminales debido a este conjunto de vulnerabilidades.
Check Point Software alertó a Qualcomm de los errores desde hace tres meses. La firma estadounidense tuvo tiempo para enmendar las ‘heridas’ y crear los ‘antídotos’. Android, por su parte, también fue notificado y ya dio solución a tres de los cuatro errores.
“En septiembre se incluirá el parche para la falla restante. Esto implica que todavía hay cierto margen de riesgo”, confirmó Zacuto.
De igual forma, para tranquilidad de millones de usuarios, Google dispone de un sistema llamado Verify Apps. Fue diseñado para revisar si las aplicaciones descargadas están ‘limpias’, bien sea que provengan de la tienda oficial (la Play Store) o de otro lugar menos fiable. La herramienta se encuentra habilitada por defecto en los equipos Android desde la versión Jelly Bean, presentada en el 2012. Por tanto, a estas alturas el 90 por ciento de los celulares con el sistema operativo de Google lo tienen.
Esta herramienta ya fue habilitada para bloquear aplicaciones maliciosas basadas en ‘Quadrooter’.
¿Por qué es inseguro?Android se ha granjeado mala reputación en términos de seguridad por varios motivos. Para empezar, es un sistema abierto, ¿eso qué quiere decir? Que cualquiera, con los conocimientos suficientes, tiene acceso al código del sistema y lo puede modificar.
Y así lo hacen casi todos los fabricantes de teléfonos. Samsung, por ejemplo, utiliza Android como base, pero también diseña su propia versión de la interfaz de usuario (bautizada como ‘TouchWiz’). En círculos especializados, a esta modificación la llaman ‘capa de personalización’. La de Huawei se llama ‘Emotion UI’; la de Sony recibe el nombre de ‘Timescape’; la de LG, ‘Optimus UI’, y la de HTC, ‘Sense’.
Por eso, aunque todos utilicen Android, la experiencia de uso puede sentirse diferente. No es igual el panel de controles de la cámara de un Huawei que el de un Samsung. No se siente igual navegar en uno u otro: los íconos varían, también las transiciones, la paleta de colores y las texturas, entre otros aspectos.
Esto lleva a que el universo de Android se encuentre fragmentado. Y eso es un problema cuando se descubren errores graves en el sistema. Los parches –o en otras palabras, los antídotos contra la enfermedad– deben adaptarse a cada versión existente. Cada fabricante (como LG, Samsung o HTC) debe distribuir las actualizaciones y así mismo deben hacerlo los operadores de telefonía. Puede tomar meses para que las enmiendas de seguridad lleguen a los usuarios.
Ojo a este dato: expertos de la firma de seguridad informática Kaspersky Labs estiman que alrededor del 97 por ciento de los ‘virus’ existentes para móviles se crearon para Android.
Esto se debe, en parte, a que es más fácil subir una aplicación maliciosa en la tienda oficial. También es más fácil distribuir paquetes de aplicaciones infectados en tiendas de terceros.
Pero, sobre todo, ello responde a que es el sistema operativo más popular y ha acaparado las miradas de los ciberdelincuentes. Cuantas más potenciales víctimas haya en un ecosistema, más probable es que un malhechor intente vulnerarlo.
Hay una aplicación para detectar las fallasCheck Point Software publicó una aplicación móvil que ayuda a revisar si su teléfono móvil es susceptible a un ataque debido a las cuatro fallas descubiertas. La puede descargar de la tienda oficial de Google bajo el nombre de ‘Quadrooter Scanner’ o en la dirección bit.ly/2b8itsj
Para evitar que su teléfono sea infectado por virus, Check Point les recomienda a los usuarios descargar e instalar las últimas actualizaciones de Android disponibles. Además, sugiere no instalar aplicaciones de Android que no se encuentren en la tienda oficial y revisar que sus aplicaciones no soliciten permisos inusuales al instalarse. Sospeche cuando una ‘app’ consuma más batería de lo usual. Por último, acceda a redes wifi de confianza.
ÉDGAR MEDINA
Redacción Tecnósfera
@EdgarMed en Twitter
