La seguridad de los smartphones puede verse comprometida mientras se carga el dispositivo a través de una conexión USB estándar al ordenador o algún otro puerto.
¿Te has preguntado si tu smartphone y los datos que contiene están seguros cuando conectas el dispositivo a puntos de carga de batería gratuitos de aeropuertos, cafés, parques o transporte público?
¿Son muchos los datos del dispositivo móvil que se intercambian con estos puntos mientras se está cargando? Los analistas de Kaspersky Lab han llevado a cabo una investigación para responder a estas preguntas.
Como parte de esta investigación, los analistas probaron varios smartphones con diferentes sistemas operativos Android e iOS con el fin de entender cómo es la transferencia de datos a dispositivos externos mientras están conectados a un PC o Mac para cargar batería. La prueba mostró que los móviles abren una gran cantidad de datos al ordenador durante el «apretón de manos» (el proceso de fusión entre el dispositivo móvil y el PC/Mac), incluyendo: el nombre del dispositivo, fabricante del dispositivo, el tipo de dispositivo, número de serie, la información de firmware, del sistema operativo, el sistema de archivo /lista de archivos, el ID chip electrónico… La cantidad de datos enviados durante el periodo en el que han estado conectados varía según el dispositivo y el anfitrión, pero todos transferían la misma información básica como mínimo, como el nombre del dispositivo, fabricante, número de serie, etc. Esto puede suponer un problema de seguridad.
En 2014, en la conferencia Black Hat se expuso como un teléfono móvil podría infectarse con malware simplemente conectándose a una estación de carga falsa. Ahora, dos años después de este anuncio original, los analistas de Kaspersky Lab han reproducido esta situación simplemente utilizando un equipo y un cable micro USB estándar, armado con un conjunto de comandos especiales (los denominados Comandos AT), que fueron capaces de realizar un re-flash del smartphone e instalar silenciosamente una aplicación root en él. Los teléfonos quedaron totalmente comprometidos, a pesar de que no se utilizó el malware.
Aunque aún no se ha dado a conocer ningún incidente real que implique a estaciones de carga, el robo de datos de los móviles conectados a un ordenador sí se ha detectado en el pasado. Por ejemplo, esta técnica se utilizó en 2013 como parte de la campaña de ciberespionaje Octubre Rojo. Y el grupo Hacking Team también hizo uso de una conexión de ordenador para cargar un dispositivo móvil con programas maliciosos.
Ambos agentes de amenaza encontraron una manera de explotar el intercambio de datos inicial, supuestamente seguro, entre el smartphone y el PC conectado. Al marcar los datos de identificación recibidos desde el dispositivo conectado, los hackers fueron capaces de descubrir qué modelo de dispositivo estaba usando la víctima y progresar su ataque con un exploit. Esto no habría sido tan fácil de conseguir si los smartphones no intercambiaran automáticamente los datos con el PC al conectarse al puerto USB.
Resulta curioso ver como casi dos años después de demostrar que un smartphone puede infectarse a través de una conexión USB, siga siendo una forma eficaz de ataque. Los riesgos son obvios: como usuario pueden rastrearte a través del ID del dispositivo; el teléfono podría terminar lleno de adware o ransomware; y, si el móvil es de una gran empresa, por podría fácilmente convertirse en el blanco de los hackers profesionales.
Con el fin de estar protegido contra el riesgo de posibles ciberataques a través de puntos de carga de batería desconocidos y ordenadores que no sean de confianza, Kaspersky Lab recomienda lo siguiente:
• Usar sólo USB y ordenadores y puntos de carga de confianza para cargar el dispositivo.
• Protege el teléfono móvil con una contraseña, o con otro método como el reconocimiento de huellas dactilares, y no lo desbloquees durante la carga.
[smartads]
• Usa tecnologías de cifrado y contenedores seguros (áreas protegidas en los dispositivos móviles utilizados para aislar la información sensible) para proteger los datos.
• Proteger tanto en el dispositivo móvil como el PC/Mac del software malicioso con la ayuda de una solución de seguridad probada. Esto ayudará a detectar el malware incluso si se utiliza una vulnerabilidad de «carga».