Aunque la seguridad de Android ha mejorado mucho con las últimas actualizaciones, y seguirá recibiendo nuevas funciones que protegerán nuestros datos, sólo hace falta que una pieza falle para que no sirvan de nada. Especialmente si es una parte tan sensible como nuestro teclado.
La ‘pesadilla’ de que puedan leer lo que escribimos en el teclado del móvil es real, como han descubierto investigadores de Citizen Lab; la única buena noticia es que la mayoría de los usuarios en España no deberían verse afectados, ya que la vulnerabilidad descubierta afecta sólo a un idioma, el chino mandarín.
La mala noticia es que la vulnerabilidad es generalizada, relativamente fácil de aprovechar por un hacker, y afecta a una enorme cantidad de marcas: Honor, OPPO, Samsung, Vivo, Xiaomi, Baidu, ioFlytek y Tencent. La única marca que fue investigada y que no sufrió el mismo problema fue Huawei, lo que indica la extensión de este problema.
Espías en el teclado
En concreto, los investigadores descubrieron problemas en el cifrado usado por las apps para los servicios en la nube cuando se usa el autocompletado; pero sólo cuando el usuario escribe en pinyin, un método de transcripción del chino mandarín usado cuando no se tienen acceso (o no se quieren usar) los caracteres chinos.
El pinyin permite representar los sonidos del idioma chino usando las letras del alfabeto latino básico; y de esta manera, es posible evitar meter las decenas de miles de caracteres chinos en el pequeño teclado de un móvil. Por eso, se calcula que el 76% de los usuarios chinos lo usan para comunicarse en sus apps.
Los teclados analizados tienen en común que usan funciones en la nube para predecir los caracteres que quiere escribir el usuario; y eso significa que es necesaria una conexión a Internet. La vulnerabilidad descubierta permitiría que un atacante ‘escuche’ esa conexión y obtenga todo lo que hemos escrito en el teclado, por lo que obtener todas nuestras conversaciones y datos importantes como contraseñas o números de tarjetas de crédito sería algo sencillo.
Los investigadores avisaron a las marcas afectadas antes de hacer público su descubrimiento, y han confirmado que la mayoría han lanzado actualizaciones que tapan este agujero de seguridad. Por lo tanto, lo recomendable es actualizar la app de nuestro teclado si no lo hemos hecho aún.
Sin embargo, hay excepciones; los teclados de Honor, Baidu y Tencent aún serían vulnerables. A eso hay que sumar que es muy posible que existan muchas más apps que sufren el mismo problema, ya que parece generalizado, pero que los investigadores no han podido probar.