600 millones de teléfonos móviles y tabletas de Samsung afectados por un fallo de seguridad en el teclado SwiftKey
Ratio: 5 / 5
- Detalles
- Publicado: Jueves, 18 Junio 2015 18:36
A medida que va pasando el tiempo, este nos da la razón y nos proporciona muestras de la inseguridad de los teléfonos móviles inteligentes y tabletas. Nuestros inseparables smartphones y tablets, de los que dependemos absolutamente para todo y en los que guardamos información personal de todo tipo, vuelven a ser noticia precisamente por haberse puesto de relieve un grave fallo de seguridad en una de las aplicaciones que utilizan más de 600 millones de estos dispositivos.
Esta vez, es la empresa Samsung quién ha quedado en evidencia, al presentar el investigador Ryan Welton, de la empresa de seguridad NowSecure, un informe en la conferencia Black Hat Londres que demuestra la existencia de una grave vulnerabilidad de seguridad en la aplicación de teclado SwiftKey, instalada por defecto en multitud de dispositivos Samsung.
SwiftKey es una aplicación para teléfonos móviles inteligentes y tabletas en la que el teclado permite predecir la siguiente palabra que el usuario intente escribir. El fallo de seguridad en esta aplicación consiste en que la comunicación de los smartphones o tablets con el servidor en busca de actualizaciones, tanto de seguridad como del paquete de idiomas, y la respuesta de este al dispositivo, no se realiza de forma cifrada. De esta forma, cuando el dispositivo se conecta a una red WI-FI abierta es vulnerable ante un ataque “hombre-en-el-medio”, a través del cual un tercero puede fácilmente hacerse pasar por el servidor llamado y enviar en vez de actualizaciones, código malicioso que le otorguen permisos de administrador. Esto significa que el tercero no deseado podría usar la cámara y el micrófono del dispositivo, instalar aplicaciones e incluso acceder a toda nuestra información personal, como mensajes, fotos, videos, etc.
Este fallo afectaría a los dispositivos que tengan esta aplicación implementada por defecto, que serían, entre otros, los modelos de teléfono móvil Galaxy S3, S4, S5, S6 y los modelos de tableta Galaxy Note 3 y Note 4. No afectaría, sin embargo a aquellos teléfonos o tabletas de Samsung que disponga de dicha aplicación instalada, por habérsela descargado el usuario través de las tiendas pertinentes.
A mi juicio, lo peor de todo esto es que Samsung conocía esta vulnerabilidad de seguridad de sus dispositivos desde diciembre de 2014 y no lo comunicó a los usuarios. Samsung se defiende diciendo que en cuanto tuvo conocimiento del problema se puso a trabajar en un parche de seguridad que distribuyó a las operadoras, eximiéndose de culpa argumentando que es responsabilidad de estas enviar dichos parches a los usuarios finales.
Como se dice popularmente, uno por otro la casa sin barrer. No sabemos si por culpa de unos o de otros, pero lo que sí sabemos, por gentileza del experto en seguridad de NowSecure, es que el problema, a día de hoy, persiste en los dispositivos indicados.
Y por el momento, los usuarios no pueden hacer nada. La aplicación de marras no se puede desinstalar y la brecha de seguridad afecta al dispositivo aunque no se haya configurado o no se use el teclado SwiftKey. Por lo tanto, hasta que el problema se solucione por alguna de las partes, se recomienda a los usuarios que no se conecten a redes WI-FI en abierto, porque este simple hecho puede conllevar que sus teléfonos móviles y tabletas sean saboteados.
Isabel García Martín
Abogada experta en Nuevas Tecnologías y Auditora de sistemas de información (CISA)
