Los investigadores de seguridad advirtieron que una falla de seguridad en los teléfonos inteligentes que usan Android está poniendo en riesgo a los usuarios de ataques de 'phishing' (fraude electrónico).
Un informe publicado por Check Point identificó una "nueva clase de ataques", conocidos como phishing, que, de tener éxito, dejan que los piratas informáticos roben correos electrónicos de los smartphones de Android fabricados por Huawei, LG, Samsung y Sony.
La falla expone a unos 2.500 millones de usuarios activos mensuales de teléfonos inteligentes de Android a ataques de phishing. Aunque algunos de los principales proveedores han publicado recientemente las versiones corregidas, muchos podrían estar en riesgo, informó la empresa israelí Check Point.
Los celulares de Android afectados utilizan la actualización por aire (OTA, por sus siglas en inglés), que permite a los operadores de redes móviles implementar configuraciones específicas de la red en un nuevo teléfono que se une a su red. Esto puede explotarse para personalizar los mensajes de SMS, permitiendo a los atacantes hacerse pasar por operadores de red y enviar mensajes engañosos.
El mensaje aparece como una actualización y está diseñado para engañar a los usuarios para que acepten configuraciones maliciosas que pueden, por ejemplo, enrutar todo su tráfico de internet a través de un servidor proxy que pertenece a un hacker. Solo se necesita un único mensaje SMS para obtener acceso completo a los correos electrónicos de un dispositivo.
"Dada la popularidad de los dispositivos en Android, esta es una vulnerabilidad crítica que debe abordarse", dijo Slava Makkavéev, investigador de seguridad de Check Point Software Technologies.
"Sin una forma más fuerte de autenticación, es fácil para un agente malicioso lanzar un ataque de phishing a través de la OTA. (...) Al hacer clic en aceptar, podrían estar dejando entrar a un hacker en su teléfono", añadió.
Los investigadores revelaron sus hallazgos a los proveedores de teléfonos con Android afectados en marzo de 2019 y, desde entonces, varios han respondido.
Samsung incluyó una solución en su versión de mantenimiento de seguridad de mayo, LG lanzó una solución en julio y Huawei planea incluir soluciones en la próxima generación de la serie Mate o teléfonos inteligentes de la serie P. Sony, afirmó que sus dispositivos siguen la especificación previa.