Xiaomi subsana una vulnerabilidad descubierta por Check Point
- Vulnerabilidades
Investigadores de Check Point descubrieron una vulnerabilidad en una de app de seguridad instalada en los terminales de Xiaomi, que dejaba a los usuarios expuestos frente a ataques Man-in-the-Middle. Tras informar al proveedor, ya ha sido subsanada.
El trabajo de los especialistas de Check Point ha puesto al descubierto una vulnerabilidad en una de las aplicaciones preinstaladas en los dispositivos del proveedor de telefonía móvil Xiaomi, que cuenta con casi un 8% de cuota de mercado en 2018. Los investigadores señalan que la vulnerabilidad que dejaba expuestos a los usuarios frente a ataques, se encuentra en la aplicación de seguridad “Guard Provider”, y permitía al ciberdelincuente instalar malware para robar contraseñas o rastrear el dispositivo. Check Point informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada.
En el caso de esta aplicación, tanto la naturaleza insegura del tráfico de red hacia/desde el proveedor de seguridad, así como el uso de múltiples SDK (acrónimo en inglés de kits de desarrollo de software), permiten a los cibercriminales conectarse a la misma red Wi-Fi que la víctima. De esta forma podrían llevar a cabo un ataque Man-in-the-Middle (MiTM). Esta variante de ataque permite aprovechar las lagunas de comunicación existentes entre los diversos software que configuran la aplicación, dando la posiblidad al atacante de insertar cualquier tipo de código malicioso de robo de contraseñas, ransomware, rastreo del dispositivo, etc.
El problema estaba en el SDK
La vulnerabilidad, según explica la firma de seguridad, se encuentra en el SDK de la app, un conjunto de herramientas de programación que ayuda a los desarrolladores a crear aplicaciones para una plataforma específica. En el caso de los teléfonos móviles, estos kits reducen el tiempo de escritura de código y dotan al smartphone de estabilidad de back-end para funcionalidades no relacionadas con el núcleo de su aplicación.
Debido a que cada vez se incorporan más códigos a este tipo de aplicaciones, mantener su entorno de producción estable, proteger los datos de los usuarios y controlar el rendimiento se vuelve mucho más complicado. Conocido como "Fatiga del SDK", el uso de múltiples SDKs dentro de la misma aplicación hace que sea más susceptible a ataques como virus, malware, violación de la privacidad, así como fallos por agotamiento de la batería, ralentización y otros problemas.
En este sentido, el uso de varios SDK en una misma aplicación da como resultado que todos estos programas compartan la misma información. Por tanto, si uno de ellos se ve afectado, la seguridad del resto también se ve comprometida. Además, estos sistemas almacenan información privada pero no de forma independiente, por lo que otros SDK pueden tener acceso a estos datos. De hecho, el uso de múltiples SDKs por aplicación está mucho más extendido de lo que se piensa: según un estudio de SafeDK, se utilizan más de 18 programas de este tipo por cada app. De esta forma, las organizaciones y los usuarios quedan expuestos a peligros que pueden explotarse.
¿Cómo protegerse frente a este tipo de amenazas?
Desde Check Point señalan que “el personal de seguridad TI de una empresa no está obligado a conocer las características de los SDK que se emplean en el desarrollo de las apps que se utilizan en los smartphones, pero sí deben tener en cuenta los riesgos ocultos”. Por tanto, la primera medida de seguridad es no dar por hecho que todos los elementos empleados para desarrollar apps son seguros, lo que implica desconfiar también de las herramientas de seguridad preinstaladas en el teléfono.
A los usuarios, como es lógico, les recomienda que utilicen una solución contra amenazas móviles avanzadas.