Seleccionar página

Su teléfono está construido a partir de una gran variedad de piezas, y muchas de ellas son "inteligentes" y tienen sus propios procesadores y firmware integrados. Eso significa que hay muchos lugares para encontrar errores o vulnerabilidades que permitirían que un mal actor tenga acceso a cosas que no debería. Las empresas que fabrican estas piezas siempre están tratando de mejorar y endurecer las cosas para evitarlo, pero les es imposible encontrar todo antes de que un componente salga del laboratorio y termine en la línea de montaje.

La mayoría de los exploits se reparan antes de que nadie sepa que existen, pero algunos lo logran.

Esto hace que encontrar estos errores y vulnerabilidades sea una industria por derecho propio. En DEFCON 27 y Black Hat 2019, grandes lugares donde los exploits se hacen públicos y se demuestran (y, con suerte, se parchean), el equipo Tencent Blade anunció una vulnerabilidad en los chips de Qualcomm que permitiría a un atacante obtener acceso a través del kernel y potencialmente entrar en su teléfono y causar daño. La buena noticia es que se anunció de manera responsable y Qualcomm trabajó con Google para solucionar el problema con el Boletín de seguridad de Android de agosto de 2019.

Aquí está todo lo que necesita saber sobre QualPwn.

¿Qué es QualPwn?

Además de ser un nombre divertido, QualPwn describe una vulnerabilidad en los chips de Qualcomm que permitiría a un atacante comprometer un teléfono a través de la WLAN (red de área local inalámbrica) y el módem celular de forma remota. La plataforma Qualcomm está protegida por Secure Boot, pero QualPwn vence a Secure Boot y le da acceso al módem a un atacante para que se puedan cargar las herramientas de depuración y se pueda controlar la banda base.

Una vez que eso suceda, es posible que un atacante pueda explotar el kernel sobre el que se ejecuta Android y obtener privilegios elevados para acceder a sus datos personales.

No tenemos todos los detalles sobre cómo sucedería esto o qué tan fácil sería, pero se darán a conocer durante las presentaciones Black Hat 2019 y DEFCON 27 de Tencent Blade.

¿Qué es una WLAN?

WLAN significa Red de área local inalámbrica y es un nombre general para cualquier grupo de dispositivos, incluidos los teléfonos móviles, que se comunican entre sí de forma inalámbrica. Una WLAN puede usar Wi-Fi, celular, banda ancha, Bluetooth o cualquier otro tipo inalámbrico para comunicarse y siempre ha sido un trampa para las personas que buscan exploits.

Debido a que tantos tipos de dispositivos diferentes pueden formar parte de una WLAN, existen estándares muy específicos sobre cómo se crea y mantiene una conexión. Su teléfono, incluidos componentes como los chips de Qualcomm, debe incorporar y seguir estos estándares. A medida que avanzan los estándares y se crea nuevo hardware, pueden ocurrir errores y vulnerabilidades en la forma en que se crean las conexiones.

¿Se ha corregido QualPWN?

Sí. El Boletín de seguridad de Android de agosto de 2019 tiene todo el código necesario para parchear los dispositivos afectados de Qualcomm. Una vez que su teléfono reciba el parche de agosto de 2019, estará a salvo.

¿Qué dispositivos están afectados?

El Tencent Blade Team no probó todos los teléfonos con un chip Qualcomm, solo el Pixel 2 y el Pixel 3. Ambos eran vulnerables, por lo que todos los teléfonos que funcionan con las plataformas Snapdragon 835 y 845 probablemente se vean afectados como mínimo. El código utilizado para parchear QualPwn se puede aplicar a cualquier teléfono con un procesador Qualcomm y Android 7.0 o superior.

Hasta que se publiquen todos los detalles, es seguro asumir que todos los conjuntos de chips Snapdragon modernos deben considerarse en riesgo hasta que se parcheen.

¿Se ha utilizado QualPwn en el mundo real?

Este exploit se reveló responsablemente a Google en marzo de 2019 y, una vez verificado, se reenvió a Qualcomm. Qualcomm notificó a sus socios y envió el código para parchearlo en junio de 2019, y cada pieza de la cadena se parchó con el código utilizado en el Boletín de seguridad de Android de agosto de 2019.

No se han informado casos de explotación de QualPwn en la naturaleza. Qualcomm también emitió la siguiente declaración con respecto al problema:

Proporcionar tecnologías que respalden una sólida seguridad y privacidad es una prioridad para Qualcomm. Felicitamos a los investigadores de seguridad de Tencent por usar prácticas de divulgación coordinada estándar de la industria a través de nuestro Programa de recompensas por vulnerabilidad. Qualcomm Technologies ya ha publicado correcciones para los OEM, y animamos a los usuarios finales a actualizar sus dispositivos a medida que los parches estén disponibles por parte de los OEM.

¿Qué debo hacer hasta que me llegue el parche?

Realmente no hay nada que puedas hacer ahora mismo. Los problemas han sido marcados como Críticos por Google y Qualcomm y se corrigieron de inmediato, por lo que ahora debe esperar a que la compañía que fabricó su teléfono se lo entregue. Los teléfonos Pixel, como los Pixel 2 y 3, junto con algunos otros de Essential y OnePlus, ya tienen disponible el parche. Es probable que otros de Samsung, Motorola, LG y otros tarden entre unos días y algunas semanas en llegar a los teléfonos.

Mientras tanto, siga las mismas mejores prácticas que siempre debe usar:

  • Siempre use una pantalla de bloqueo fuerte
  • Nunca sigas un enlace de alguien que no conoces y en quien no confías
  • Nunca envíe datos personales a sitios web o aplicaciones en los que no confíe.
  • Nunca le des tu contraseña de Google a nadie más que a Google
  • Nunca reutilices las contraseñas
  • Utilice siempre un buen administrador de contraseñas
  • Utilice la autenticación de dos factores siempre que pueda

Más: Los mejores administradores de contraseñas para Android en 2019

Es posible que estas prácticas no eviten una vulnerabilidad de esta naturaleza, pero pueden mitigar el daño si alguien obtuviera algunos de sus datos personales. No se lo pongas fácil a los malos.

Viene más información

Como se mencionó, el Tencent Blade Team publicará todos los detalles sobre QualPwn durante las próximas presentaciones en Black Hat 2019 y DEFCON 27. Estas conferencias se centran en la seguridad de los dispositivos electrónicos y, a menudo, se utilizan para detallar exploits como este.

Una vez que Tencent Blade proporcione más detalles, sabremos más sobre lo que podemos hacer para mitigar cualquier riesgo con nuestros propios teléfonos.

Video: