Los teléfonos Android pueden infectarse con sólo recibir una imagen a través de un mensaje de texto, según un estudio publicado este lunes.
Se trata quizás de la falla más grave del smartphonedescubierta hasta hoy, y afecta a un estimado de 950 millones de teléfonos en todo el mundo, cerca del 95% de los Android en uso.
El problema tiene su origen en la forma en que los teléfonos Android analizan los mensajes de texto entrantes. Incluso antes de abrir un mensaje, el teléfono procesa automáticamente los archivos multimedia adjuntos, incluyendo imágenes, audio o video.
Eso significa que un archivo cargado con malware puede comenzar a infectar el teléfono tan pronto como se haya recibido, advierte Zimperium, una empresa de seguridad cibernética que se especializa en los dispositivos móviles.
Esta vulnerabilidad de Android guarda similitud con el reciente hackeo que sufrieron los teléfonos de Apple a través de un mensaje de texto.
Pero en aquel caso, un mensaje de texto congelaba el iPhone o lo apagaba. En cambio, esta falla de Android es peor, porque un hacker podría obtener el control total del teléfono: borrar el dispositivo, acceder a aplicaciones o encender secretamente la cámara.
En una declaración a CNNMoney, Google reconoció la falla y aseguró que Android tiene maneras de limitar el acceso de un hacker a aplicaciones independientes y funciones del teléfono. No obstante, los hackers han sido capaces de superar estas barreras en el pasado.
La falla afecta a cualquier teléfono con software Android fabricado en los últimos cinco años, según Zimperium. Esto incluye los dispositivos que ejecutan las versiones Froyo, Gingerbread, Honeycomb, Ice Cream Sandwich, Jelly Bean, KitKat y Lollipop (Google bautiza sus versiones Android con nombres de postres en orden alfabético).
Zimperium dijo que advirtió a Google acerca de la falla el 9 de abril y hasta entregó una solución. La compañía afirma que Google respondió al día siguiente y aseguró que pronto pondría un parche a disposición de los clientes.
Por lo general, en estas situaciones, las empresas tienen un período de gracia de 90 días para publicar un parche o solución. Es una regla que incluso Google acata cuando encuentra defectos en el software de otros.
Pero han pasado 109 días y el parche no está disponible de forma generalizada. Por eso Zimperium hizo pública la noticia.
La cuestión ahora es con qué rapidez solucionará Google esto para todos los afectados. Mientras que Apple puede introducir cambios en todos los iPhones, Google no puede.
Google es conocido por tener un sistema de distribución fracturado. Hay varios intermediarios entre Google y sus usuarios, y estas entidades habitualmente retrasan el lanzamiento de nuevo software. Hay compañías de telefonía – como AT&T y Verizon – y fabricantes de dispositivos físicos – como Samsung – y todos ellos necesitan trabajar juntos para emitir actualizaciones de software.
Google dijo a CNNMoney que el parche ya ha sido enviado a sus «socios». Sin embargo, no está claro si alguno de ellos ya lo pasó a los propios usuarios.
Por esa misma razón, Google puso sus propios teléfonos Nexus en el primer lugar de la fila para recibir actualizaciones.
Esto podría ser un caso que demuestra por qué es tan importante recibir actualizaciones rápidamente.
Chris Wysopal es un experimentado hacker que ahora trabaja en la firma de seguridad cibernética Veracode. Dice que esta falla es la versión ‘Heartbleed’ de Android, una devastadora vulnerabilidad que puso a millones de redes informáticas en grave riesgo el año pasado.
«Me interesa ver si a Google se le ocurre una manera de actualizar los dispositivos de forma remota. A menos que puedan hacer eso, tenemos un gran desastre en nuestras manos», dijo.
CNN Expansión