A pesar de los avances en la seguridad de Android como Samsung, Xiaomi, etc,en las últimas actualizaciones, que continúan implementando nuevas funciones para proteger nuestros datos, basta con que un componente falle para que todas estas medidas resulten inútiles. Esto es especialmente preocupante cuando se trata de componentes sensibles como nuestro teclado.
1Detectan fallos de seguridad en móviles Samsung, Xiaomi, OPPO y Honor
La preocupación de que puedan acceder a lo que escribimos en el teclado del teléfono es una realidad confirmada por investigadores de Citizen Lab. Sin embargo, la buena noticia es que la mayoría de los usuarios en España probablemente no se verán afectados, ya que la vulnerabilidad descubierta afecta solo a un idioma: el chino mandarín. Por desgracia, la mala noticia es que esta vulnerabilidad es generalizada, relativamente fácil de explotar por un hacker, y afecta a una amplia gama de marcas, como Honor, OPPO, Samsung, Vivo, Xiaomi, Baidu, iFlytek y Tencent. La única marca investigada que no mostró el mismo problema fue Huawei, lo que subraya la magnitud del problema.
La preocupante realidad es que esta vulnerabilidad es ampliamente extendida, relativamente fácil de explotar por un ciberdelincuente, y afecta a numerosas marcas prominentes como Honor, OPPO, Samsung, Vivo, Xiaomi, Baidu, iFlytek y Tencent. Sorprendentemente, Huawei fue la única marca investigada que no mostró el mismo problema, lo que destaca la magnitud del desafío.
Los investigadores identificaron fallos en el cifrado utilizado por las aplicaciones para los servicios en la nube cuando se utiliza la función de autocompletado, pero específicamente cuando el usuario escribe en pinyin, un sistema de transcripción del chino mandarín que se utiliza cuando no se tienen acceso a los caracteres chinos. Esta técnica permite representar los sonidos del idioma chino utilizando letras del alfabeto latino básico, lo que facilita la comunicación en aplicaciones móviles para aproximadamente el 76% de los usuarios chinos.
Los teclados examinados comparten la característica de utilizar funciones en la nube para predecir los caracteres que el usuario desea escribir, lo que implica una conexión a Internet. La vulnerabilidad descubierta permite a un atacante interceptar esta conexión y obtener todo lo que se ha escrito en el teclado, lo que potencialmente otorgaría acceso a conversaciones privadas y datos sensibles como contraseñas o números de tarjetas de crédito.
Los investigadores notificaron a las marcas afectadas antes de hacer público su descubrimiento, y la mayoría de ellas han lanzado actualizaciones para solucionar este problema de seguridad. Por lo tanto, es fundamental actualizar la aplicación de nuestro teclado si aún no lo hemos hecho.
Sin embargo, algunas excepciones persisten; los teclados de Honor, Baidu y Tencent siguen siendo vulnerables. Además, es probable que existan muchas otras aplicaciones afectadas por el mismo problema, ya que parece ser una vulnerabilidad generalizada, aunque los investigadores no hayan podido probarlas todas.
