En una nueva entrada de la sección «los dispositivos móviles son un carnaval de seguridad», nos encontramos con la presentación de Ryan Welton en la edición 2015 de Black Hat Londres. Allí explicó que una versión del popular teclado SwiftKey modificada por Samsung para sus dispositivos Galaxy no recibe actualizaciones protegidas, por lo tanto, un atacante podría reemplazar el parche real con un paquete malicioso, y realizar toda clase de acciones privilegiadas, incluyendo la extracción de mensajes y el monitoreo del micrófono.
Todo comienza con lo que muchos consideran un error típico: Conectar un dispositivo móvil a una red WiFi abierta. Existen varias razones por las cuales esa es una mala idea, pero la más importante no cambia: El usuario no tiene idea de quién está monitoreando a esa red. Puede ser el sujeto con un ordenador portátil cerca, o la misma persona que instaló el router en primer lugar. Tal vez no suceda nada en la mayoría de los casos, sin embargo, la suerte tiene la costumbre de acabarse en el peor momento. ¿Qué es lo que podría pasar? Tomemos como ejemplo al trabajo de Ryan Walton, quien presentó en la última edición de la conferencia Black Hat Londres una vulnerabilidad que afecta a dispositivos Samsung con una versión especial del teclado SwiftKey, modificada y preinstalada (léase «no se puede quitar») por el fabricante coreano.
Esta variante de SwiftKey consulta de forma periódica a servidores autorizados en busca de actualizaciones, ya sean de la propia aplicación o en un paquete de idioma. Hasta ahí, se trata de un comportamiento lógico y razonable… pero hay un detalle. La consulta al servidor «y» la transmisión de los parches no están cifradas, lo que habilita a un atacante a realizar un clásico «hombre-en-el-medio», haciéndose pasar por el servidor y enviando una actualización falsa. Por diseño, los teléfonos Samsung otorgan a las actualizaciones privilegios lo suficientemente elevados como para evitar conflictos con los mecanismos de seguridad que posee Android. La única «protección» es una especie de manifiesto que controla el contenido del update, pero todo lo que tiene hacer el atacante es enviar al smartphone un «manifiesto actualizado» con el hash SHA1 de su parche malicioso. La vulnerabilidad está presente aún si el usuario no utiliza dicho teclado, y no es necesario que exista una actualización real para la aplicación.
La gente de SwiftKey confirmó que las versiones de su teclado presentes en Google Play no poseen la vulnerabilidad, y el propio Welton reveló que Samsung envió un parche a los proveedores, pero si llegan o no a los usuarios… es otra historia. Honestamente no hay manera de calcular con precisión la cantidad de dispositivos afectados, aunque el número más crudo habla de 600 millones. A medida que el desarrollo de software siga avanzando, será inevitable encontrar vulnerabilidades de este tipo, pero la seguridad en los dispositivos móviles tiene un problema de fondo que necesita ser resuelto de inmediato: Los proveedores. La actitud de los proveedores a la hora de distribuir parches de seguridad roza lo patético, y con la idea de «controlar» sus dispositivos no han hecho otra cosa más que alimentar un verdadero caos digital con millones de smartphones inseguros. De algún modo, tanto Google como los fabricantes y los desarrolladores de aplicaciones (que buena parte de la culpa tienen también) deberán trabajar para eliminar a los proveedores de la ecuación, y garantizar de una vez por todas que las correcciones de seguridad lleguen al usuario final en tiempo y forma.