Fallo de seguridad permite el borrado de algunos Samsung Galaxy

Un grupo de informáticos ha descubierto un fallo de seguridad a través de códigos USSD que permite elborrado de algunos móviles Samsung de familia Galaxy, y cuando nos referimos a “borrado” se trata de un hard reset, o lo que es lo mismo, el reseteo del terminal para que quede como recién salido de fábrica. Esto es sin duda preocupante.

Los móviles afectados por este fallo de seguridad son los modelos Galaxy con sistema operativo Androidque cuenten con la interfaz personalizada TouchWiz. Y es que el fallo se basa en una de las bases de programación de Android, los llamados intents, los cuales no son más que las órdenes que el usuario envía al sistema sobre sus intenciones futuras y este las gestiona, algo como cuando queremos compartir un archivo y Android nos abre una lista de opciones para saber como deseamos completar esta orden.

Este fallo de seguridad funciona ya que Android permite la introducción de códigos USSD a través de algo tan sencillo como un enlace web o dentro de una aplicación (si el hacker consigue los permisos necesarios para introducirlos). Peor aún, estos códigos USSD se pueden introducir a través de NFC o un código QR, lo que permite que sea de forma remota, así como ha sido demostrado en la conferencia de seguridad EkoParty al aplicar un “hard reset” a un terminal Samsung utilizando estos métodos.

Si bien la base del fallo está en Android por estar relacionada con los intents, gran parte de la culpa es de Samsung, ya que los USSD son limitados, por lo que si incluyeran en su sistema un método automático de comprobación para saber si el número que se va a marcar es válido o es un USSD malicioso (comparando con una base de datos), esto no sucedería.

No solo esto, el fallo originalmente solo permitía a un hacker malintencionado la avería de la tarjeta SIM del usuario afectado, quedando esta inutilizada y teniendo que adquirir una nueva. Pero en el caso de los usuarios de móviles con la interfaz TouchWiz (incluida en prácticamente todos los terminales Android de la casa), Samsung permite el borrado remoto del teléfono con un código USSD, por lo que el peligro con este fallo es aún mayor.

Hasta ahora, Samsung no ha comentado al respecto más que: “estamos investigando todo el asunto”.

Vía: Gizmología

Anuncios

El Samsung Galaxy S III ya se puede actualizar a Android Jelly Bean

Desde hace unas horas, una buena parte de usuarios del Galaxy S III en países de Europa del Este como Polonia y Croacia ya pueden actualizar su teléfono a Android 4.1 Jelly Bean, la última versión del sistema operativo móvil más utilizado del mundo y que fue presentada por Google en el pasado Google I/O de Junio. Algunos usuarios reportan que no les está llegando vía OTA así que para asegurarnos del todo lo mejor probablemente es conectar el teléfono al software de escritorio de SamsungSamsung Kies, para que esta salte y podamos actualizar el dispositivo.

Se prevee que en las próximas horas esté disponible también para el resto de países, si es que no lo está ya. Jelly Bean trae varias novedades como un centro de notificaciones con nuevas funcionalidades pero recordemos que uno de los principales objetivo de Google era mejorar sustancialmente el rendimiento, la estabilidad y la fluidez de todo el sistema. Llevo probando un Galaxy Nexus con Jelly Bean durante un tiempo y puedo dar constancia de que lo han conseguido en bastantes niveles.

Esperemos que la integración de Samsung y Jelly Bean también haya sido buena, los cambios en la interfaz no serán muy pronunciados en esta ocasión y recaen en el TouchWhiz de Samsung, con un menú de opciones reorganizados y funciones tan interesantes como Google Now, el antiguo S Memo pasa a llamarse ahora S Note.

Vía: Gizmologia