La seguridad se ha convertido en uno de los aspectos más importantes para el usuario moderno, y los fabricantes están respondiendo con la promesa de un soporte extendido; marcas como Google o Samsung ya prometen entre 6 y 7 años de actualizaciones de seguridad, que permiten seguir usando el móvil con tranquilidad. Y ahora, esta promesa se va a poner a prueba, por culpa de una seria vulnerabilidad confirmada por Qualcomm.
El fallo de seguridad fue descubierto inicialmente por un investigador del grupo de análisis de amenazas de Google, un equipo independiente que se dedica a buscar errores en todo tipo de apps y servicios; sin embargo, en esta ocasión la vulnerabilidad no afecta al 'software', sino al 'hardware', concretamente a la familia de procesadores Snapdragon de Qualcomm.
El propio fabricante así lo confirmó poco después, listando nada menos que 64 chips afectados, entre los que se encuentran algunos de los procesadores más usados en el sector de móviles Android, como el Snapdragon 888 o el Snapdragon 660; ni siquiera se salvan los modelos más nuevos, y el último modelo de gama alta lanzado hasta ahora por la compañía, el Snapdragon 8 Gen 3, también se ve afectado. Por si fuera poco, el problema también se encuentra en chips diseñados para otros dispositivos, como FastConnect 6700 usado en plataformas integradas o el módem X55 usado en algunos modelos de iPhone.
El fallo de seguridad es de un tipo que se conoce como 'Use-After-Free', UAF, que ocurre cuando un programa continúa usando una porción de memoria después de liberarla para que la usen otros programas. Un hacker podría aprovechar esto para obtener acceso a la memoria y modificar el comportamiento del programa o acceder a datos para los que no tiene permiso.
La vulnerabilidad que sufren los chips Snapdragon es de 'día cero'; eso quiere decir que este fallo no era conocido por Qualcomm y peor aún, ya ha sido usado por hackers. Según ha confirmado Amnistía Internacional, la vulnerabilidad ha sido aprovechada para "atacar a individuos" concretos, en vez de usarla como un ataque generalizado contra la mayor cantidad de usuarios posibles; eso indica que podría haber sido usada para entrar en los móviles de personalidades importantes, ya sean líderes políticos, periodistas u objetivos de espías, pero por el momento no se sabe nada sobre quiénes eran los objetivos.
Sin embargo, ahora que esta vulnerabilidad se conoce, es cuestión de tiempo que empiece a ser usada de manera generalizada por todo tipo de hackers. La buena noticia es que Qualcomm ya ha publicado un parche que ya está disponible para los fabricantes de móviles, a los que ha informado de una "recomendación fuerte de publicar la actualización lo antes posible"; la mala noticia es que el usuario ahora depende de que estas compañías se den la mayor prisa posible para publicar la actualización. En muchos casos, especialmente en móviles viejos, es muy posible que los móviles que ya no tienen soporte no reciban ningún tipo de actualización y permanezcan vulnerables.