Hace tres meses Google inició una investigación rutinaria por su equipo Project Zero de hackers internos, esta vez dirigida para encontrar bugs (fallas en la programación o el diseño del software) del smartphone Galaxy S6 Edge de Samsung.
El resultado fue once errores de seguridad que fueron descubiertos en Touchwiz, la capa de personalización del fabricante.
Una de las vulnerabilidades se encontró en el software de correo electrónico de Samsung que podría haber permitido a los piratas informáticos transmitir mensajes de la víctima a su propia cuenta.
Otro de los fallos permite alterar la configuración de la aplicación de visión de fotos mediante el envío de una imagen especialmente codificada.
La más grave
Sin embargo, Google dijo que el tema más preocupante fue la existencia de un 'directory traversal' en una utilidad wifi integrada en el teléfono, con la que se puede ordenar a la aplicación a acceder a un archivo al que no debería poder acceder o no debería ser accesible.
"Si alguien proporcionó datos maliciosos al software, podrían cambiar otros archivos en el sistema e interferir con otras funciones, en especial con las funciones de seguridad", indicó Steven Murdoch, investigador de seguridad en el University College de Londres.
"Con el tiempo podría permitir a alguien hacerse con el control de todo el teléfono", añadió.
"Android intenta tener capas de protección, por lo que incluso si se atraviesa una hay otra", explicó el experto, pero la falla "elimina algunas capas muy importantes de esa protección".
Los bugs "debilitaron considerablemente la seguridad" del sistema operativo de Google, en opinión del experto independiente.
"Definitivamente hay una tensión entre Google y los fabricantes de teléfonos móviles, ya que Google quiere proteger su marca Android, y cuando se trata de seguridad, Android ha sido bastante empañada", aseguró.
Rápida actuación
El trabajo de Project Zero de Google, consiste en descubrir fallos de seguridad previamente desconocidos.
"En el transcurso de una semana, se encontró un total de once errores con un impacto grave de seguridad", el equipo escribió en su blog.
"La mayoría de estos problemas se resolvieron en el dispositivo que hemos examinado a través de una OTA (tecnología que permite al operador transmitir datos de forma inalámbrica a terminales y sitios remotos) en un periodo de 90 días.
"Es prometedor que las cuestiones de mayor gravedad fueron resueltas y actualizadas en el dispositivo en un plazo razonable", añadió.
Un comunicado de Samsung dijo que ha resuelto 8 de los errores y que los tres restantes se solucionarán a través de una actualización de seguridad a finales de este mes.
"El mantenimiento de la confianza de nuestros clientes es una prioridad", dijo la compañía.
Samsung confirmó que había abordado este tema en particular en una actualización de seguridad publicada el mes pasado.
"Samsung anima a los usuarios a mantener su software y aplicaciones actualizados en todo momento", añadió el portavoz.
0 comentarios:
Publicar un comentario