‘El mensaje de la muerte’: cualquier teléfono Android puede ser hackeado a través de un SMS

Los casi mil millones de dispositivos Android disponibles en el mundo están desprotegidos ante una novedosa forma de ataque: un simple SMS. 

Al parecer, en algunos modelos ni siquiera es necesario abrir el mensaje. Con tan solo recibirlo basta para que un hacker se haga con el control del teléfono y acceda a todos los datos almacenados en él, ya sean números de teléfono, contactos, cuentas bancarias, tarjetas de crédito o información disponible en aplicaciones. 

El descubridor de esta vulnerabilidad es Joshua Drake, experto en seguridad y fundador de la empresa Zimperium zLabs, que ha denominado a este problema como "El peor problema no solo en la historia de Android, sino en toda la historia de los sistemas operativos para móviles”. E incluso más va más allá al asegurar que es peor que Heartbleed, el famoso agujero descubierto en 2014 por el que los hackers se podían colar para leer la memoria de un servidor y conseguir así las claves privadas de millones de páginas web y servicios, sin que ningún responsable de seguridad sospechara nada.

En una entrevista concedida a la web de Forbes, Drake explica que la vulnerabilidad se encuentra en Stagefright, un reproductor de archivos multimedia que utiliza Android. Los hackers pueden enviar a los teléfonos o tabletas un mensaje multimedia que en realidad es un troyano y que al reproducirse de manera automática, puede introducir código malicioso en otras áreas del teléfono gracias a los permisos con los que cuenta Stagefright.

Drake advierte de que en algunos teléfonos el daño se produce incluso antes de que el usuario vea el mensaje o incluso antes de que salte la notificación de mensaje recibido. En otros modelos, como por ejemplo un Samsung Galaxy o un Nexus dotado de Android Ice Cream Sandwich, los problemas para el teléfono empiezan cuando el mensaje se ve en pantalla y es abierto. 

[Te puede interesar: Dos hackers demuestran que pueden tomar el control de un coche que se encuentre a kilómetros de distancia] 

Cuánto más antiguo, peor

El equipo del experto en seguridad también probó el ataque en un LG Optimus Elite y en un Samsung S4, modelos antiguos que hace tiempo ya no se comercializan. En los dos casos, el daño fue peor: los hackers podían hackers  con el control total del aparato y podían encender o apagar la cámara o el micrófono a su gusto.

Google responde

En el artículo de Forbes se revela que Drake ha comunicado a Google sus hallazgos, con la intención de que la empresa responsable de Android cree un parche de seguridad que pueda ser descargado por todos sus usuarios. Pero aunque la compañía del buscador está trabajando en ello, la solución tardará en llegar meses. Para los teléfonos último modelo de Andorid no hay problema. Según Google, cuentan con un sistema de protección que impediría la acción del SMS atacante. 

Antes de que la protección esté disponible, Drake presentará sus hallazgos al gran público en las conferencias Black Hat y DEF CON que se celebran este mes de agosto en Las Vegas.