Quienes sigan este blog u otros similares relacionados con la seguridad informática habrán notado que las noticias que hablan de amenazas en dispositivos móviles han aumentado considerablemente en los últimos meses. Tal abundancia de noticias está motivada por el interés creciente de los desarrolladores de malware en este tipo de dispositivos, cada vez más frecuentes, con más funcionalidades y más asequibles para todos.
Si las primeras amenazas que observamos para móviles consistían principalmente en realizar llamadas de tarificación especial, en la actualidad hemos visto como el interés de los ciberdelincuentes se centra más en la obtención de datos confidenciales a los que sacarles algún beneficio económico. Pero no solo los ciberdelincuentes innovan en la manera de comprometer nuestros dispositivos móviles. También los investigadores de seguridad realizan sus progresos e informan sobre los mismos con la esperanza de que los fabricantes tomen buena nota de sus errores y los corrijan.
Hoy nos gustaría comentar dos de estas pruebas de concepto desarrolladas por investigadores de seguridad. La primera de ella ha sido elaborada por un grupo de seis investigadores de la universidad de Indiana y la ciudad universitaria de Hong Kong y consiste en una aplicación capaz de reconocer la voz del usuario o el sonido de las teclas que emiten nuestros teléfonos al pulsarlas. El uso de esta aplicación permite filtrar y registrar números de tarjetas de crédito, información que suele darse cuando llamamos a alguna compañía emisora de este tipo de tarjetas. Los fundamentos y funcionamiento de esta aplicación están completamente registrados en un completo documento y además, puede verse una demostración de su funcionamiento en el vídeo que mostramos a continuación:
Lo que realmente sorprende de esta aplicación, es que necesita de menos permisos para ejecutarse en dispositivos Android de lo que normalmente solicitan aplicaciones mucho mas inofensivas, lo que debería hacernos plantear a quien estamos autorizando el acceso a nuestro terminal y a los datos que en él se almacenan y que uso de hace de los mismos.
Del mismo modo, el uso de un teléfono móvil para una finalidad para la que no ha sido originalmente diseñado es algo bastante común. Uno de estos usos revelado en la reciente Black Hat DC podría permitir usar un Smartphone como teclado para introducir comandos a un ordenador. Si bien puede parecer un uso poco peligroso, la realidad es que se podría usar para atacar a terminales encapsulados que solo mostrasen un monitor táctil pero que tuviesen puertos USB a los que el usuario pueda acceder. Ejemplos de este tipo de máquinas objetivo pueden ser terminales de revelado de fotografía, máquinas de cobro automático que ya están usando algunas grandes superficies o incluso algunos terminales ubicados en bancos y cajas. Con un teclado y conocimiento de posibles vulnerabilidades se podría acceder a estas máquinas y realizar operaciones no autorizadas por lo que se trata de un peligroso vector de ataque.
Como vemos, cada día aparecen más amenazas destinadas o que se aprovechan de las capacidades avanzadas de los modernos dispositivos móviles. Es por eso que desde el laboratorio de ESET en Ontinet.com recomendamos prestar la misma atención a estos dispositivos cuando hablamos de proteger nuestros sistemas de cualquier amenaza.
Josep Albors