Charles Miller, veterano investigador de seguridad y doctor en Informática, ha encontrado un agujero de seguridad en el T-Mobile G1. En declaraciones al New York Times aseguró que era capaz de redirigir el navegador web del primer terminal con sistema operativo Android, a un sitio Web malintencionado.
Hace un par de días que empezó a comercializarse el terminal, y ya se ha encontrado un primer fallo de relevante importancia, su descubridor, Charles Miller, es conocido por haber realizado la misma operación con el el sistema operativo Leopard en un MacBook Air, y más delante fue capaz de piratear un iPhone. En ambos casos, fue la primera vez que se realizó, y lo consiguió a partir de una vulnerabilidad en Safari.
La vulnerabilidad del G1 es preocupante, pero tampoco una emergencia, estamos en una situación inicial en la que muchas empresas van a realizar teléfonos basados en Android y es importante darles seguridad. Android se compone de más de 80 componentes de código abierto, y al parecer la vulnerabilidad desaparecerá cuando Google actualice la nueva versión de estos componentes.
Google ha contestado al New York Times, son conscientes del problema, pero han manifestado sus quejas por que Miller no les ha dado tiempo suficiente para llegar a una solución antes de hacerla pública.
El descubridor parte de la idea que todo sistema es vulnerable, otros hackers pueden hacer lo mismo en silencio y luego aprovechar esto para hacer actos delictivos, él tiene una empresa que se dedica a poner prueba la seguridad de los sistemas, por lo que la publicidad es más importante que cualquier otro detalle.
En concreto lo que Miller ha conseguido es instalar un software que puede capturar las pulsaciones del teclado del teléfono, permitiendo al hacker conocer contraseñas e informaciones del usuario. Sin duda es un gran problema. El descubridor no ha revelado exactamente los detalles técnicos del hack, y Google lógicamente no ha tenido tiempo para solucionar el problema.
La relación de Miller con Google no ha sido del todo agradable, al parecer la empresa envió un mensaje a la comunidad de investigadores en seguridad alrededor de marzo, pidiendo que repasaran Android en busca de bugs, y no esperaban que los encontrasen, por lo que, en palabras de Miller, pidieron que no fueran comunicados los detalles de vulnerabilidad, algo razonable por parte de Google.
Desde el punto de vista del descubridor, el cliente debe conocer los posibles problemas de su sistema, pero sin revelar detalles que ayuden a terceros a crear un problema mayor. Aun así T-Mobile empezó a vender los teléfonos.
T-Mobile, la operadora implicada en el asunto, asegura que Google está trabajando en un parche para el navegador y están coordinando un plan junto a Google para distribuir lo antes posible el mismo.
Según Miller el problema es muy fácil de arreglar, sobre todo para los terminales que están en fabricación, la solución es algo más dificultosa para los que ya están distribuidos, ya que requiere que el usuario sea consciente de la necesaria actualización.
De lo que no cabe duda es que los teléfonos se van pareciendo más a nuestros ordenadores, la gente está asustada de lo que les pueda pasar, instalan antivirus, o todo tipo de protecciones, pero olvidan la vulnerabilidad de sus teléfonos. Poco a poco esto se convertirá en un problema cotidiano, y un nuevo negocio para muchas empresas.
Via | Kriptópolis.
Ver 4 comentarios