miércoles, 16 de noviembre de 2016

Un software espía instalado en 700 millones de móviles envía datos personales a China

La empresa Kryptowire ha descubierto una vulnerabilidad en el firmware utilizado por 700 millones de smartphones, coches y otros dispositivos inteligentes. La empresa que lo creó, Shangai Adups Technology Company, ha indicado que 120.000 teléfonos del fabricante americano BLU están afectados por una característica que permite espiarlo prácticamente todo en estos dispositivos. El software de Adups transmite mensajes de texto, lista de contactos, registros de llamadas, información de ubicación y otros datos a servidores chinos.



El software ha conseguido espiar a gran escala a millones de móviles fabricados en China, algunos de ellos vendidos en España. Los propietarios desconocían que, cada 72 horas, el contenido de sus mensajes se autoenviaba al país asiático.

Huawei ha ofrecido una respuesta para desmentir su colaboración con Adups: "Huawei tiene como prioridad la privacidad y seguridad de nuestros clientes, y trabajamos con diligencia para proteger dicha privacidad y seguridad. La empresa mencionada en esta información no figura en nuestra lista de proveedores aprobados, y en ningún momento se ha realizado ningún tipo de negocio con ellos".

El principal fabricante involucrado es Blu, con más de 120.000 terminales afectados.

Modelos afectados BLU

http://www.bluproducts.com/security/
  • R1 HD
  • Energy X Plus 2
  • Studio Touch
  • Advance 4.0 L2
  • Neo XL
  • Energy Diamond

Estos dispositivos estaban disponibles a través de los principales tiendas «online» con sede en Estados Unidos (Amazon, BestBuy, por ejemplo) e incluye algunos modelos como el BLU R1 HD, que goza de una cierta popularidad por su asequible precio de venta, o otros modelos como el Energy X Plus 2, Studio Touch, Advance 4.0 L2, Neo XL y Energy Diamond, según constata la propia marca china en un comunicado.

Miles de teléfonos Android Adups envían datos confidenciales a China

Kryptowire ha identificado varios modelos de dispositivos móviles Android que contenían firmware que recogía datos personales confidenciales acerca de sus usuarios y transmitía estos datos confidenciales a servidores de terceros sin divulgación ni el consentimiento de los usuarios.

Estos dispositivos transmiten activamente la información del usuario y del dispositivo, incluyendo el cuerpo completo de mensajes de texto, listas de contactos, historial de llamadas con números de teléfono completos, identificadores de dispositivos únicos, incluyendo la Identidad Internacional de Suscriptor Móvil (IMSI) y la IMEI. El firmware podría dirigirse a usuarios específicos y mensajes de texto que coincidan con palabras clave definidas de forma remota. El firmware también recopiló y transmitió información sobre el uso de aplicaciones instaladas en el dispositivo supervisado, eludió el modelo de permisos de Android, ejecutó comandos remotos con privilegios escalonados (del sistema) y pudo reprogramar los dispositivos de forma remota. El firmware que se entregó con los dispositivos móviles y las actualizaciones subsiguientes permitió la instalación remota de aplicaciones sin el consentimiento de los usuarios y, en algunas versiones del software, la transmisión de información de ubicación de dispositivo de grano fino. El núcleo de las actividades de monitoreo se llevó a cabo utilizando un software de actualización comercial Firmware Over The Air (FOTA) que se envió con los dispositivos Android que probamos y que fueron administrados por una empresa llamada Shanghai Adups Technology Co. Ltd.

La información recopilada se encriptó con múltiples capas de cifrado y luego se transmitió a través de protocolos web seguros a un servidor ubicado en Shanghai. Este software y el comportamiento evita la detección de herramientas antivirus móviles porque asumen que el software que se suministra con el dispositivo no es malware y, por lo tanto, es de lista blanca.

En septiembre de 2016, Adups reclamó en su sitio web una presencia mundial con más de 700 millones de usuarios activos y una cuota de mercado superior al 70% en más de 150 países y regiones con oficinas en Shanghai, Shenzhen, Pekín, Tokio, Nueva Delhi , Y Miami. El sitio web de Adups también declaró que produce firmware que está integrado en más de 400 operadores móviles líderes, proveedores de semiconductores y fabricantes de dispositivos que abarcan desde dispositivos portátiles y móviles a automóviles y televisores.

La empresa Kryptowire ha descubierto una vulnerabilidad en el firmware utilizado por 700 millones de smartphones, coches y otros dispositivos inteligentes. La empresa que lo creó, Shangai Adups Technology Company, ha indicado que 120.000 teléfonos del fabricante americano BLU están afectados por una característica que permite espiarlo prácticamente todo en estos dispositivos.

El software de Adups transmite mensajes de texto, lista de contactos, registros de llamadas, información de ubicación y otros datos a servidores chinos. Ni el fabricante ni los usuarios sabían nada, y por lo visto integrar ese firmware en dichos teléfonos fue un error. Lo que no es un error es el firmware en sí, que es utilizado de forma extendida por fabricantes chinos que pueden así monitorizar la actividad de sus usuarios.

El software de Adups transmite mensajes de texto, lista de contactos, registros de llamadas, información de ubicación y otros datos a servidores chinos. Ni el fabricante ni los usuarios sabían nada, y por lo visto integrar ese firmware en dichos teléfonos fue un error. Lo que no es un error es el firmware en sí, que es utilizado de forma extendida por fabricantes chinos que pueden así monitorizar la actividad de sus usuarios.

Adups se excusa en que introdujo esta puerta trasera por una petición del Gobierno chino. 

La monitorización no debía haber estado activa en los smartphones de BLU

Adups proporciona ese software a ZTE, y el diseño de dicha funcionalidad fue encargada a esta empresa por un fabricante no especificado que quería aprovechar todos esos datos "para mejorar la atención al cliente". Lily Lim, una abogada de California que representa a Adups, explicaba que la empresa no tiene afiliación alguna con el gobierno chino.

También afirmaba que son las empresas que fabrican y venden estos teléfonos las que deben aclarar sus políticas, y no Adups, una empresa que "solo estaba ahí para proporcionar la funcionalidad que el distribuidor de teléfonos pedía". Ese software permite por ejemplo que los fabricantes puedan ofrecer actualizaciones remotas para sus dispositivos, una función clave para los usuarios.

La propia Google parecía estar al tanto de la actividad de Adups y había dicho a sus responsables que "eliminaran la opción de vigilancia para teléfonos que ejecutan servicios como la tienda Google Play". Eso debería haber excluido a smartphones como los de BLU, pero no fue así.

Adups no ha publicado la lista con los modelos comprometidos, mientras que en Kryptowire indican que solo los usuarios avanzados podrían averiguar si sus dispositivos están o no afectados. El presidente de BLU, Samuel Ohev-Zion, comentaba cómo esto es "algo que obviamente no sabíamos", y aseguraba que el problema ya ha sido resuelto y "no hay dispositivo BLU actualmente que esté recolectando esa información".

Vía | NYT
 Fuentes:
http://www.antena3.com/noticias/tecnologia/un-software-espia-instalado-en-700-millones-de-moviles-envia-datos-personales-a-traves-de-sms-a-china_20161116582c700c0cf2a4a49478eb7b.html
http://www.xataka.com/moviles/china-recolectaba-datos-de-los-usuarios-de-smartphones-de-blu-a-traves-de-un-firmware-secreto

No hay comentarios:

Publicar un comentario