Especialistas en ciberseguridad de reportan el hallazgo de una vulnerabilidad crítica en los chips de telefonía Mobile Station Modem (MSM), desarrollados por Qualcomm y compatibles con la tecnología 5G. La explotación exitosa de esta falla permitiría a los actores de amenazas acceder a detalles confidenciales incluyendo números de teléfono, historial de llamadas e incluso espiar llamadas en vivo.
Esta es una serie de sistemas en chips (SoC) con capacidades 2G, 3G, 4G y 5G que actualmente son empleados en alrededor del 40% de los smartphones de todo el mundo, incluyendo a fabricantes como Samsung, Google, LG, OnePlus y Xiaomi.
Los expertos de Check Point, responsables del hallazgo, mencionan que la falla identificada como CVE-2020-11292 habría permitido a los hackers maliciosos usar el sistema operativo Android como punto de acceso para la inyección de código malicioso de forma inadvertida: “La vulnerabilidad también permitiría a los actores de amenazas desbloquear el módulo de identificación del suscriptor (SIM), empleado por los dispositivos móviles para almacenar información de autenticación y contactos.”
La explotación del ataque requiere del abuso de una debilidad de desbordamiento de pila en la interfaz Qualcomm QMI, empleada por los procesadores de smartphones para interactuar con el software stack. Los hackers también podrían emplear apps maliciosas para ocultar su actividad empleando el propio chip del módem, volviéndose virtualmente invisibles para cualquier mecanismo de seguridad móvil para el sistema Android.
Los investigadores presentaron sus hallazgos a Qualcomm en octubre de 2020, momento en el que se comenzaron a planear las formas para abordar el problema. Por seguridad, se recomienda a los usuarios de implementaciones afectadas actualizar a las más recientes versiones disponibles de su sistema operativo a la brevedad. Como de costumbre, también se recomienda a los usuarios no instalar aplicaciones móviles descargadas desde plataformas ajenas a la tienda oficial de Google.
Después de recibir el informe de Check Point, Qualcomm desarrolló actualizaciones de seguridad para abordar la falla, contactando a los proveedores afectados para su adecuada distribución. Al respecto, un portavoz de la compañía mencionó: “Brindar tecnologías adecuadas para la seguridad y privacidad de los usuarios es una de nuestras más importantes metas; agradecemos a los investigadores de Check Point por proporcionar información vital para el tratamiento de esta falla de seguridad.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
