211service.com
'SMS of Death' podría bloquear muchos teléfonos móviles
Los teléfonos en los bolsillos de muchas personas en la actualidad son computadoras personales en miniatura y son tan vulnerables como las PC a virus, malware y otros problemas de seguridad. Pero una investigación presentada en una conferencia en Alemania la semana pasada muestra que los teléfonos ni siquiera tienen que ser inteligentes para ser vulnerables a los piratas informáticos.
Usando solo comunicaciones del Servicio de mensajes cortos (SMS), mensajes que se pueden enviar entre teléfonos móviles, un par de investigadores de seguridad pudieron forzar teléfonos de gama baja apagarse abruptamente y desconectarlos de una red celular. Además de los mensajes de texto, el protocolo SMS se puede utilizar para transmitir pequeños programas, llamados binarios, que se ejecutan en un teléfono. Los operadores de red utilizan estos archivos para, por ejemplo, cambiar la configuración de un dispositivo de forma remota. Los investigadores utilizaron el mismo enfoque para atacar teléfonos. Realizaron sus trucos en teléfonos de Nokia, LG, Samsung, Motorola, Sony Ericsson y Micromax, un conocido fabricante de teléfonos móviles de la India.
Una serie de ataques en gran parte teóricos dirigidos a iPhones y dispositivos Android han sido noticia en los últimos años. Pero los teléfonos inteligentes representan solo el 16 por ciento de los dispositivos en uso. Los llamados teléfonos de funciones, que pueden hacer más que hacer llamadas pero ejecutar solo software con funcionalidad limitada, lo que les permite a sus usuarios enviar mensajes de texto y jugar juegos, representan la mayoría de alrededor de 5 mil millones de teléfonos móviles en uso en todo el mundo.
Los teléfonos con funciones son más difíciles de atacar que los teléfonos inteligentes debido a sus limitaciones. Sus procesadores son menos potentes y tienen menos capacidad de memoria, por lo que deben ejecutar un software más simple, que a menudo no se puede cargar a menos que el operador dé permiso. Los teléfonos con funciones también tienen idiosincrasias de hardware y software más variadas que los teléfonos inteligentes.
Los investigadores de seguridad que presentaron su trabajo en la conferencia de la semana pasada, Collin Mulliner, estudiante de doctorado en el Seguridad en Telecomunicaciones departamento en el Universidad Técnica de Berlín , y Nico Golde , un estudiante de pregrado en la misma institución, decidió atacar teléfonos con funciones por aire. Establecieron una red celular en miniatura, utilizando software de código abierto para crear una estación base con la que comunicarse con los teléfonos. Para transmitirles mensajes maliciosos sin poner en riesgo otros dispositivos, protegieron sus comunicaciones encerrando su red en una jaula de Faraday, que bloquea las señales de radio.
Tener una red celular privada también ayudó a Mulliner y Golde a estudiar el software que se ejecuta en teléfonos de gama baja. Al monitorear la forma en que los teléfonos se comunicaban con su estación base, podían discernir información importante sobre cómo funcionaban los teléfonos y cómo los mensajes SMS podrían afectarlos.
Los investigadores pudieron crear mensajes SMS maliciosos para cada tipo de teléfono que estudiaron. Los mensajes afectan a los teléfonos sin ninguna respuesta del usuario. Debido a que los teléfonos con funciones son tan comunes, dice Mulliner, un ataque de este tipo podría eliminar un gran porcentaje de las comunicaciones móviles.
Para apuntar a un usuario específico, un atacante necesitaría saber qué tipo de teléfono usa, ya que cada plataforma requiere un mensaje diferente. Pero Mulliner dice que los atacantes podrían fácilmente inutilizar una gran cantidad de teléfonos enviando un conjunto de cinco mensajes SMS, dirigidos a los cinco modelos más populares, a cada dispositivo en una red específica. Mulliner señala que existen servicios basados en Internet que envían mensajes SMS en masa, ya sea de forma económica o gratuita, lo que hace posible que un antagonista con recursos limitados lleve a cabo un ataque de este tipo desde cualquier parte del mundo.
Las únicas personas que pueden defenderse de este ataque son los operadores de red, dice Mulliner. Para evitar problemas, los operadores tendrían que actualizar el firmware de los teléfonos existentes o bien filtrar los mensajes SMS potencialmente perturbadores que viajan a través de sus redes. El último enfoque sería difícil, dice, porque el software de filtrado, generalmente utilizado para detectar spam, no está optimizado para detectar binarios.
Mulliner y Golde dicen que se pusieron en contacto con los operadores de red y los fabricantes meses antes de su charla, pero les dijeron que no era posible tener las soluciones listas a tiempo.
Los teléfonos inteligentes son objetivos más atractivos, pero las masas todavía utilizan, en general, los teléfonos con funciones, dice Charlie Miller , analista principal de seguridad de software para la firma de investigación Evaluadores de seguridad independientes . Miller es bien conocido por su investigación sobre fallas de seguridad en el iPhone y otros dispositivos móviles, y ha trabajado con Mulliner en el pasado.
Debido a que los teléfonos con funciones están tan extendidos, los problemas encontrados por Mulliner y Golde podrían afectar a mucha gente, dice Miller. Aún así, a los atacantes les resultaría difícil robar información personal o tomar el control de los teléfonos. En contraste, las vulnerabilidades de SMS en iPhones y dispositivos HTC basados en Windows Mobile permiten que un atacante se apodere de los teléfonos, dice Miller, citando una investigación que él y Mulliner llevaron a cabo hace un par de años.
En la práctica, la defensa contra ataques masivos contra teléfonos con funciones puede resultar enormemente difícil. Aurélien Francillon , un investigador del grupo de seguridad del sistema de ETH Zurich en Suiza, dice: La mayoría de esos teléfonos no tienen actualizaciones automáticas y, cuando las tienen, los parches no están disponibles rápidamente.
Es más probable que los teléfonos inteligentes de gama alta se configuren para instalar actualizaciones automáticamente para protegerse contra ataques, dice. Francillon cree que las vulnerabilidades que Mulliner encontró en los teléfonos con funciones pueden permanecer abiertas durante mucho tiempo antes de que se corrijan en los teléfonos de los usuarios finales, si es que alguna vez se corrigen.