Google advierte: si tienes alguno de estos móviles, los hackers pueden atacarlos con facilidad
Investigadores de Google han encontrado 18 vulnerabilidades que permiten atacar teléfonos solo con tener el número de la víctima.
17 marzo, 2023 09:58Un número amplio de teléfonos móviles de Samsung, Vivo y otras marcas están en riesgo de ser hackeados a distancia según ha informado Google. Investigadores del gigante de internet han detectado hasta 18 vulnerabilidades en los módems Exynos fabricados por Samsung y que se encuentran en muchos dispositivos vendidos en España, para los que aún no hay solución de seguridad definitiva.
Proyect Zero de Google, división centrada en ciberseguridad, ha emitido un informe advirtiendo del riesgo que corren estos equipos. Cuatro de las brechas de seguridad se describen como de alto riesgo al permitir la "ejecución remota de código de Internet a banda base", necesitando solo el número de teléfono de las víctimas.
"Creemos que los atacantes expertos podrían crear rápidamente un exploit operativo para comprometer los dispositivos afectados de forma silenciosa y remota", dice el informe. El resto de casos detectados son de menor riesgo al requerir "un ordenador de red móvil malicioso o un atacante con acceso local al dispositivo".
[Elimina el malware de tu móvil gracias únicamente a estos dos sencillos pasos]
Samsung recibió el aviso hace más de 90 días, pero aún no estarían disponibles los parques que pueden blindar estos módems frente a ataques. Google no ha dado muchos detalles sobre cada vulnerabilidad para no dar pistas a los piratas informáticos, pero sí indica los modelos afectados y algún truco con el que los usuarios pueden protegerse de forma temporal.
Móviles afectados
Los dispositivos afectados serían principalmente europeos, donde la compañía coreana ha vendido sus móviles con módems Exynos, mientras el mismo modelo se vendía fuera con chips de Qualcomm a los que no afectan estos errores. Dispositivos como Pixel 6, Pixel 7 y algunos modelos de Galaxy S22 y A53, están en la lista detallada por Google.
- Dispositivos móviles de Samsung, incluidos los de las series Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04
- Dispositivos móviles de Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30
- Las series Pixel 6 y Pixel 7 de Google
- Cualquier dispositivo portátil que use el chipset Exynos W920
- Cualquier vehículo que use el chipset Exynos Auto T5123
Se librarían de este problema móviles de las series Galaxy S21 y el S23. Los buques insignia más recientes, que Samsung ha anunciado el pasado febrero, usan Qualcomm en todo el mundo, mientras que los S21 equipan chips Exynos más antiguos que no aparecen en la lista de módems afectados que ha compartido Samsung en su página de soporte.
Google asegura que la actualización de seguridad de marzo lanzada para sus Pixels debería solucionar el problema. No obstante, 9to5Google señala que todavía no está disponible para Pixel 6, 6 Pro y 6a, es posible que tarden en llegar a todas las unidades.
Meses sin solución
Project Zero no ha compartido detalles sobre la naturaleza de cada vulnerabilidad, como es costumbre en sus informes, para no dar pistas a los ciberdelincuentes, ya que considera que algunas vulnerabilidades son fácilmente explotables. Aunque de momento Samsung no ha lanzado los parches necesarios para blindar estas brechas de seguridad, el informe de Google da ciertas pautas para protegerse si se tiene alguno de los anteriores modelos.
Project Zero recomienda apagar las llamadas por WiFi y VoLTE. Esto empeorará la calidad de las llamadas, pero si da una oportunidad frente a posibles hackers, es importante intentarlo hasta que estén parcheados los problemas. Cada móvil cuenta con este ajuste en diferente posición, pero suele encontrarse en la sección de redes y conexiones de la configuración de los móviles.
End-users still don't have patches 90 days after report.... https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) March 16, 2023
Lo habitual entre entidades dedicadas a la investigación de fallos informáticos como estos, es que se informe al responsable con antelación para que pueda solucionar la brecha antes de hacerla pública. Pero si ha pasado un tiempo y no hay parches disponibles, los investigadores suelen publicar. Esto es lo que ha ocurrido, como indica Maddie Stone, investigadora de Project Zero, que advierte en redes sociales que los fallos encontrados llevan más de 90 días esperando un arreglo.