Según informó The Hacker News, la Comisión Federal de Comercio de Estados Unidos (Federal Trade Commission) ha acusado a la empresa taiwanesa HTC por no tomar medidas adecuadas en cuanto a la seguridad en sus teléfonos. De esa manera, un software sobre móviles en Android o Windows podría robar información personal por aplicaciones de terceros.
La FTC ha identificado diversas vulnerabilidades que incluyen algunas aplicaciones conocidas como HTC Loggers y Carrier IQ. Asimismo, se descubrió que existen algunas vulnerabilidades en la programación, lo que permite a aplicaciones de terceros saltear ciertos permisos en el modelo de seguridad de Android. Esto ocurre por una nueva delegación de permisos donde una aplicación que tiene determinado nivel de acceso a información o funcionalidades críticas pueden ser accesibles por otras aplicaciones que no deberían tener los mismos permisos.
Además, este tipo de vulnerabilidad podría permitir a las aplicaciones acceder a la información de los contactos, obtener el historial de navegación de la potencial víctima, el contenido de los mensajes de texto e incluso información de transacciones bancarias. En otro caso, códigos maliciosos podrían grabar conversaciones o incluso realizar un rastreo de la geolocalización de la víctima. Existe un documento explícito (en inglés) que explica en varios niveles las fallas en cuento al diseño de los dispositivos.
La FTC informó que HTC accedió a desarrollar parches de seguridad que solucionen este problema, debido a que millones de teléfonos se encuentran expuestos. Además, HTC América establecerá un programa integral de seguridad que se aplicará durante el desarrollo de los dispositivos, con la finalidad de evitar futuras brechas de seguridad.
En este caso particular, las vulnerabilidades solo afectan a teléfonos móviles HTC. Sin embargo, existen vulnerabilidades que residen en las propias aplicaciones. De esta manera es importante que los usuarios actualicen periódicamente sus aplicaciones para contar con los últimos parches de seguridad. Asimismo, contar con un software antivirus permite estar protegido contra amenazas que afectan a estas plataformas.
El siguiente nivel corresponde a la educación por parte del usuario y a sus buenas prácticas a la hora de utilizar los dispositivos. Desde ESET Latinoamérica, recomendamos la lectura de nuestra guía de dispositivos móviles para que los usuarios adquieran conocimiento e incorporen buenas prácticas en la temática. Finalmente, para aquellas organizaciones que utilicen dispositivos móviles como parte de sus recursos, recomendamos la lectura de nuestro artículo Seguridad en BYOD.
Fernando Catoira
Analista de Seguridad