La firma de seguridad Check Point Research advirtió en su sitio web que descubrió una vulnerabilidad en varios de los chips de Qualcomm que podría ser aprovechada por los hackers para acceder a los datos de los smartphones y poder espiar a los usuarios mediante la instalación de malware.
Los investigadores mencionaron que el problema se encuentra aproximadamente en el 40% de los teléfonos del mercado, sin embargo, para que se pueda explotar la vulnerabilidad es necesario que el equipo también utilice la interfaz de Qualcomm MSM (QMI), de ahí que la cifra de teléfonos afectados se reduzca en un 10%.
Qualcomm MSM es una parte fundamental de los chips del fabricante norteamericano usada desde la década de los 90, y está presente en los más recientes lanzamientos como los Snapdragon 888 u 870, por lo que afecta a los más recientes modelos de Samsung, Xiaomi, OnePlus, OPPO y más fabricantes.
Debido a que QMI es un protocolo utilizado para que los componentes de software en el módem y otros periféricos del teléfono se comuniquen, los atacantes podrían aprovechar la vulnerabilidad para obtener información confidencial como acceso al historial de llamadas, mensajes, e incluso escuchar las conversaciones telefónicas de los usuarios.
Una vulnerabilidad descubierta en 2020
Check Point Research calificó la vulnerabilidad como una de primer nivel, y declaró que desde diciembre compartió con Qualcomm los detalles de la investigación.
“Demostramos que existía una vulnerabilidad peligrosa en los chips de Qualcomm, lo que revela cómo un atacante podría usar el sistema operativo Android para inyectar código malicioso en teléfonos móviles, sin ser detectado. Mi recomendación principal para los usuarios de Android es que actualicen siempre a la última versión de su sistema operativo móvil”, mencionó Yaniv Balmas, director de investigación cibernética de Check Point.
Según la firma, Qualcomm notificó a sus socios comerciales de la falla en los chips y solucionó la vulnerabilidad, sin embargo, son los fabricantes Android los que deben lanzar la actualización correspondiente.
Por desgracia ni Qualcomm, ni Check Point Research tienen constancia de cuántos teléfonos ya recibieron la actualización de seguridad que impide aprovechar esta vulnerabilidad.