Google actualiza los Nexus 6 y 6P para evitar que sean espiados

Google actualiza los Nexus 6 y 6P para evitar que sean espiados

La vulnerabilidad ya erradicada permitía utilizar el módem del teléfono para interceptar llamadas y la conexión de datos móviles.

Los Nexus 6 y 6P, dispositivos de la familia extinta de smartphones, fueron actualizados por Google después que investigadores de IBM X-Force (vía ArsTechnica) reportaran una vulnerabilidad que permitía aprovechar el modo fastboot del teléfono para tomar control del módem del equipo en el arranque.

Hecho esto, un atacante podría ser capaz de interceptar llamadas telefónicas y la conexión de datos móviles. Tan sólo se necesitaría acceso físico al equipo para conectarlo a una computadora o cargador malicioso. Sin embargo, el equipo debía tener activada la función ADB que permite instalar aplicaciones mediante una conexión USB.

Ondas de una llamada comprometida. (c) IBM X-Force

La vulnerabilidad etiquetada como CVE-2016-8467 no sólo permitiría escuchar las llamadas telefónicas, sino también realizarlas, robar su información, conocer la ubicación exacta de la víctima mediante el GPS e incluso acceder o cambiar la partición EFS de los equipos. Como es de esperar, el Nexus 6P era menos vulnerable, ya que el diagnóstico del módem estaba deshabilitado.

Conexión de datos comprometida. (c) IBM X-Force

En realidad, no sería necesario que los Nexus 6 o 6P tuvieran habilitada la característica ADB para atacar a la víctima. Gracias a la vulnerabilidad se podría habilitar y entablar una sesión con el teléfono en una computadora, incluso aunque ésta estuviera bloqueada. Entonces, el atacante sería capaz de instalar malware iniciando el equipo en modo fastboot. Con ello, las interfaces quedarían habilitadas y la característica ADB ya no sería necesaria.

Afortunadamente la vulnerabilidad fue erradicada por Google en noviembre y enero, para el Nexus 6 y Nexus 6P, respectivamente, antes que fuera dada a conocer públicamente. Por lo tanto, sus usuarios pueden estar tranquilos.

Sígannos y comenten en Facebook.