Investigadores de Check Point® Software Technologies Ltd., proveedor líder de soluciones de ciberseguridad a nivel mundial, han descubierto más de 400 vulnerabilidades que ha calificado como "críticas" en chips Qualcomm Snapdragon, que se utilizan en más del 40% de los smartphones en todo el mundo.
Este elemento del teléfono, conocido como Procesador de Señal Digital (DSP), forma parte de los móviles Android, incluyendo los dispositivos de alta gama de marcas como Google, Samsung, Xiaomi o LG. Según los expertos, los cibercriminales podrían sacar provecho de estos fallos de seguridad para espiar a millones de personas de todo el mundo mediante su teléfono móvil.
¿Qué es un Procesador de Señal Digital (DSP)?
Un Procesador de Señal Digital (DSP) es un sistema implementado en un chip y diseñado para optimizar yhabilitar distintas funcionalidades en el smartphone, como pueden ser lasopciones de carga, el uso de software multimedia para capturar imágenes yvídeos en alta definición, la utilización de realidad aumentada o el reconocimientode la voz del usuario cuando este realiza algún comando de voz. En definitiva,un DSP se encarga de procesar señales en tiempo real, como la conversión deseñales de voz, vídeo y ambientales en datos computables.
Todas estas funcionalidades han provocado que los DSP hayan pasado a ser uno de los vectores de ataque más novedosos y utilizados por los cibercriminales en los últimos tiempos, pues aumentan la superficie de ataque y los puntos débiles de los dispositivos móviles. Además, los expertos alarman que los chips DSP son mucho más vulnerables a los riesgos ya que se gestionan como "cajas negras", por lo que revisar y comprobar su diseño, funcionalidad o código es muy complicado para cualquier persona ajena al fabricante.
¿Cómo funciona esta vulnerabilidad?
Para poder aprovechar estos fallos de seguridad, loscibercriminales únicamente necesitarían que el usuario se descargue unaaplicación sencilla, que no requiere permisos y que es aparentemente fiable.Así, podrían acceder al teléfono y losinvestigadores de Check Point han destacado los importantes riesgos deseguridad asociados a las vulnerabilidades encontradas en el DSP de Qualcomm:
- Transformar el smartphone en una herramienta de espionaje: un cibercriminal puede usar el teléfono de la víctima para espiarla sin necesidad de interacción con el usuario. Entre la información que se puede extraer del terminal se encuentran fotografías, vídeos, datos de localización o GPS y también podría grabar llamadas e incluso activar el micrófono.
- Interrumpir el funcionamiento del teléfono: los atacantes pueden aprovechar estas vulnerabilidades para conseguir que el móvil de la víctima no funcione como de costumbre, haciendo que toda la información almacenada no esté disponible.
- Llevar a cabo actividades maliciosas desde el dispositivo: el smartphone puede ocultar malware que evita detectar las actividades maliciosas que el cibercriminal esté realizando desde el teléfono. Además, es importante subrayar que estos programas maliciosos no se pueden eliminar.
Desde la empresa de ciberseguridad que ha detectados estas vulnerabilidades se ha informado a los responsables de Qualcomm, que han admitido estas brechas de seguridad y han alertado a los proveedores de teléfonos móviles.
En este sentido, Yaniv Balmas, jefe de investigación de Check Point, señala que "aunque Qualcomm ha solucionado el problema, no es el final de la historia. Millones de teléfonos están expuestos a este fallo de seguridad, por lo que los usuarios pueden ser espiados e incluso perder todos sus datos, puesto que asimismo puede llevar meses o incluso años acabar con él de forma definitiva, sobre todo debido a la complejidad del ecosistema del mundo móvil. Ahora depende de marcas como Google, Samsung o Xiaomi integrar esos parches en cadena de fabricación de smartphones, lo que implica que las vulnerabilidades todavía se encuentran activas. Hasta entonces, desde Check Point recomendamos a todos los usuarios de teléfonos Android extremar las precauciones para evitar convertirse en una nueva víctima de estos fallos de seguridad".
Desde la compañía resaltan una vez más la necesidad de implementar herramientas de seguridad que protejan tanto el Smartphone como los datos que almacena.