Un fallo en las tarjetas SIM permite a un atacante tomar el control de nuestros teléfonos
Noticias relacionadas
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- El inventor de la contraseña en los ordenadores muere a los 93 años
- Aviso de bomba: como abras este archivo tu ordenador se llenará de datos
- El Walkie-talkie del Apple Watch permite espiar lo que otra persona dice en su iPhone por un bug
Normalmente, cuando hablamos de errores de seguridad en smartphones, suele tratarse de un problema con el sistema operativo, la capa superior que controla al resto. Las razones son bien sencillas: el código creado para un sistema operativo es mucho mas extenso (así que es mas probable que haya fallos) y puede actualizarse fácilmente (así que un error se puede subsanar, quitando presión). En cambio, es muy raro ver bugs graves en el firmware o en el hardware de los dispositivos; son elementos mucho mas restringidos en lo que pueden o no hacer, y al mismo tiempo son controlados desde su creación para evitar cualquier problema.
Pero el caso que vemos hoy afecta a un elemento del que nos solemos olvidar una vez que lo instalamos: la tarjeta SIM, en particular aquellas que usan el estándar DES para cifrar los datos. Este método se está abandonando por otras alternativas, pero aún hay muchos fabricantes que lo utilizan en sus tarjetas, por no mencionar la enorme cantidad de estas que hay en poder de los usuarios.
La vulnerabilidad salió a la luz cuando un investigador mandó mensajes falsos de una operadora a varios dispositivos con estas tarjetas. El 25% de estos realizaron una respuesta automática, en la que se incluía la llave de seguridad de la SIM, de 56 dígitos. Con ese dato, un atacante puede obtener el control absoluto del teléfono, ya que puede firmar virus y otro tipo de programas con esa llave y el sistema los reconocerá como fiables. Estos virus se pueden transmitir por SMS, y permiten ver los mensajes de texto e incluso realizar llamadas a cargo de la cuenta de la víctima. Un virus parecido puede ser usado por un atacante para realizar llamadas a números de pago o para asumir la identidad de su propietario.
Los fabricantes de tarjetas SIM son conscientes de esta vulnerabilidad, y de hecho las nuevas tarjetas ya no la tienen. Ahora les queda trabajar con las operadoras para encontrar una solución para las ya existentes en el mercado (como filtrando ciertos tipos de mensajes), preferiblemente antes del 1 de Agosto, cuando se harán públicos los detalles de la vulnerabilidad y el método de los ataques.
Fuente | The New York Times