El investigador de seguridad de Ryan Welton de la empresa NowSecure ha hecho público los detalles de una falla de seguridad que, dicen, podría tener un impacto sobre 600 millones dispositivos móviles Samsung en todo el mundo, incluyendo el recientemente lanzado Galaxy S6.

El investigador de seguridad ha publicado en su canal de YouTube un vídeo en el cual puede apreciarse como aprovecha la vulnerabilidad identificada como CVE-2015-2865. Los dispositivos vulnerables son Galaxy S4 Mini, Galaxy S4, Galaxy S5 y Galaxy S6.

Si se aprovechara, la vulnerabilidad podría llevar a los atacantes a acceder remotamente al dispositivo y espía a través de la cámara o micrófono, realizar un seguimiento de la ubicación física mediante GPS, instalar aplicaciones maliciosas, robar información e incluso escuchar los mensajes y llamadas de voz.

El problema se encuentra en la aplicación del teclado SwiftKey pre-instalado en los dispositivos Samsung. La amenaza se agrava por el hecho de que el teclado no puede ser desactivado o desinstalado.

Los investigadores afirman que el teclado se actualiza mediante la descarga de un archivo ZIP a través de una conexión HTTP sin cifrar y no se comprueba la autenticidad de la actualización, lo que significa que un atacante podría potencialmente interceptar la descarga, quizás cuando el objetivo está usando un WiFi malicioso y enviar malware al teléfono, incluido en el archivo comprimido. El proceso de actualización tiene acceso a nivel de SYSTEM, dando a los atacantes la capacidad de sobrescribir los archivos en el teléfono e inyectar malware.

NowSecure dice que informó a Samsung a finales de 2014 y también ha informado al equipo de seguridad de Android de Google.

Aunque se cree que Samsung ha comenzado a proporcionar un parche a los operadores de telefonía móvil a principios del 2015, es difícil para los usuarios del dispositivo móvil saber si su operador ha parcheado el problema y muchos clientes todavía podrían estar en riesgo.

SwiftKey ha respondido a los informes de noticias de la vulnerabilidad, culpando a Samsung: “Parece que la forma en que nuestra tecnología de predicción fue integrada en los dispositivos Samsung introdujo la vulnerabilidad de seguridad”. SwiftKey, dice que sus aplicaciones disponibles en Google Play y iOS App Store, no están afectadas por la vulnerabilidad, pero esto es poco consuelo para los usuarios de Samsung en riesgo.

Fuente: Hot For Security