Los chips Snapdragon de Qualcomm cuentan con una merecida fama gracias a su excelente rendimiento. Sin embargo, puede que hoy sea el día en el que te alegres de no haberte podido comprar uno de esos caros móviles con procesador Snapdragon. ¿El motivo? Una brecha de seguridad que ha dejado expuestos mil millones de dispositivos Android equipados con el SoC del fabricante estadounidense.
Una brecha que abre la puerta para hackear todos estos terminales y convertirlos en herramientas de espionaje de datos mediante la explotación de más de 400 vulnerabilidades detectadas en los chips Snpadragon de Qualcomm, según revela un informe que han salido a la luz este fin de semana.
Millones de terminales Android completamente indefensos
Lo peor de todo es lo fácil que resulta aprovechar estas brechas de seguridad. Basta con descargar un vídeo o cualquier otro tipo de contenido que sea renderizado por el chip. Las víctimas también pueden sufrir la instalación indeseada de aplicaciones maliciosas sin necesidad de solicitar ningún tipo de permiso. En definitiva, una avería que nos puede dejar indefensos sin mucho que podamos hacer al respecto para evitarlo.
A partir de ahí los atacantes pueden monitorizar nuestra ubicación, escuchar a través del micrófono en tiempo real e incluso exportar imágenes y vídeos. También permitiría el desarrollo de exploits para dejar el dispositivo completamente inutilizado. Este tipo de infecciones además permanecerían ocultas a ojos del sistema operativo, haciendo mucho más difícil la limpieza y recuperación del terminal.
Los chips DSP
Snapdragon es lo que se conoce como un SoC o “system on a chip”, lo que significa que estamos ante una pieza de hardware que incorpora varios componentes, tales como la CPU o el procesador gráfico. Una de las funciones de estos chips es el procesamiento de señales digitales o DSP (Digital Signal Processing), la cual toma parte en varias tareas, como el proceso de carga, el video, el sonido, la realidad aumentada y muchos otros. Los fabricantes también pueden usar los DSPs para ejecutar aplicaciones dedicadas que permiten realizar funciones especiales o personalizadas.
A este respecto, los investigadores de la firma de seguridad Check Point, compañía que ha descubierto estas vulnerabilidades, indican lo siguiente “Si bien los chips DSP ofrecen una solución relativamente económica que permite que los teléfonos móviles ofrezcan a los usuarios finales más funcionalidades y características innovadoras, tienen un precio”. Según ellos la clave está en que “Estos chips introducen nuevos puntos débiles por lo que empezar a atacar estos terminales. Los chips DSP son mucho más vulnerables ya que se gestionan como “cajas negras” desde el momento en el que resultan tan complejas de entender para cualquiera que no sea el propio fabricante, que acaban siendo imposibles de auditar o revisar cualquier fallo que pueda haber en su diseño, funcionalidad o código.”
Qualcomm ya ha realizado las correcciones pertinentes…
…aunque todavía no se han implementado en el sistema operativo de Android ni en ningún dispositivo Android que esté utilizando los chips Snapdragon, según indican desde Check Point. Al ser preguntados sobre la fecha de actualización para incorporar el parche, desde Google indican que la pelota está en el tejado de Qualcomm. Las declaraciones oficiales de Qualcomm respecto a esta brecha de seguridad afirman que “en relación a la vulnerabilidad de Qualcomm Compute DSP revelada por Check Point, hemos trabajado diligentemente para validar el problema y poner las soluciones adecuadas a disposición de los OEM. No tenemos evidencia de que esté siendo explotado actualmente. Recomendamos a los usuarios finales que actualicen sus dispositivos a medida que los parches estén disponibles y que solo instalen aplicaciones de repositorios de confianza como Google Play Store.”
Tal y como indican los chicos de Check Point, los chips Snapdragon vienen incorporados en el 40% de los móviles a nivel mundial. Se estima que actualmente existen alrededor de 3 mil millones de dispositivos Android, lo que implicaría que más de 1.000 millones de terminales estarían en peligro de ser afectados por esta vulnerabilidad. Un buen día para sentirnos orgullos de nuestro chip Mediatek, Kirin o Exynos…
