RedacciónAdups retiró sus aplicaciones de puerta trasera enviando datos personales a servidores chinos en el BLU R1 HD el pasado mes de noviembre, pero sigue ocurriendo en otros teléfonos, dijo Kryptowire.
Josh Miller/CNET
Los teléfonos baratos se cobran un alto precio en la forma de tu privacidad, descubrieron analistas de seguridad.
A un precio de apenas US$60, el Blu R1 HD es el teléfono de mayor venta en Amazon. En noviembre pasado, los investigadores lo cacharon enviando datos privados de manera secreta a China.
Shanghai Adups Technology, el grupo detrás del software de espionaje en el Blu R1 HD, dijo que se trató de un error, pero los analistas de Kryptowire encontraron que el proveedor de software sigue cometiendo el mismo «error» en otros teléfonos.
Durante la conferencia de seguridad Black Hat en Las Vegas el miércoles, investigadores de Kryptowire, una empresa de seguridad, revelaron que el software de Adups sigue enviando datos de un dispositivo al servidor de la compañía en Shanghai sin alertar a la gente. Pero ahora, está siendo más reservado al respecto.
«Los reemplazaron con versiones más linas», dijo Ryan Johnson, ingeniero de investigación y cofundador de Kryptowire. «He capturado el tráfico de red de estos teléfonos utilizando el comando y el canal de control cuando lo hicieron».
Una portavoz de Adups dijo que la compañía había resuelto los problemas en 2016 y que los problemas «ya no existen». Kryptowire dijo que ha observado que Adups envía datos sin decirle a los usuarios desde por lo menos tres teléfonos diferentes.
La conferencia de Black Hat de este año tiene como telón de fondo un año de reportes sobre el hackeo ruso y su intrusión en la carrera presidencial de 2016, así como noticias en los últimos meses acerca de los ataques de ransomware que secuestran las computadoras de la gente a cambio de un pago.
La gente tiene suficiente para preocuparse cuando se trata de privacidad en sus dispositivos personales. Entre la vigilancia del gobierno y vulnerabilidades de seguridad, el software preinstalado en el teléfono en sí es una violación inesperada de confianza y privacidad para millones de propietarios que están buscando un teléfono barato.
‘Una enorme invasión a la privacidad’
Tener acceso al canal de comando y control — una ruta de comunicaciones entre tu dispositivo y un servidor — permitió a Adups ejecutar comandos como si fuera el usuario, lo que significa que también podría instalar aplicaciones, tomar capturas de pantalla, grabar la pantalla, hacer llamadas y borrar dispositivos sin necesidad de permiso.
«Parece una enorme invasión de privacidad», dijo Johnson.
Kryptowire analizó más de 20 piezas de firmware de dispositivos Android de gama baja, todas las cuales tenían vulnerabilidades que permitían aplicaciones de spyware y todas tenían un chipset MediaTek. El chipset siempre viene con una aplicación preinstalada llamada MTKLogger, que permite la vigilancia de datos como tu historial de navegación y la ubicación GPS si fueras secuestrado, por ejemplo.
MediaTek dijo que resolvió el problema en noviembre, pero los investigadores de Kryptowire descubrieron la semana pasada que el Blu Advance 5.0 todavía se envía con una versión vulnerable de la aplicación. El teléfono, que es el tercer teléfono más vendido en Amazon, no tiene una actualización de firmware disponible para detener una posible explotación, dijo Johnson.
Funciona a través de algo llamado escalamiento de privilegios, que da permisos avanzados a ciertas aplicaciones mucho más allá de lo que te gustaría tener. Kryptowire no ha encontrado ningún caso en el que el MTKLogger haya sido secuestrado, pero la vulnerabilidad sigue existiendo. Kryptowire descubrió originalmente la naturaleza espía de Adups en octubre pasado.
Después de que se dio a conocer, Adups eliminó su seguimiento de datos en dispositivos como el Blu R1 HD y el Blu Life One X2, dos teléfonos que son populares en Amazon por sus precios baratos. Para esos dos dispositivos, Adups dejó de enviar mensajes de texto y registros de llamadas a China desde entonces.
Blu no respondió a una solicitud de comentarios.
Un problema muy extendido
Johnson solo encontró los datos secretos de Adups en China porque era el teléfono más vendido de Amazon, pero el problema sigue siendo frecuente en dispositivos de bajo perfil, dijo. En mayo, compró un Blu Grand M en Best Buy, que cuesta entre US$ 60 y US$75.
Seis meses después de que Adups dijo que cometió un error con su seguimiento de datos, Johnson descubrió que todavía estaba sucediendo en el Blu M. En mayo, encontró que el teléfono estaba enviando datos a China con una lista de aplicaciones instaladas, aplicaciones utilizadas, identificadores de teléfono únicos como la dirección MAC y IMEI, el número de teléfono y la identificación de la torre del teléfono celular.
No rastrea el GPS de tu teléfono, pero los datos de la torre del teléfono celular están lo suficientemente cerca como para ser admisibles como prueba en un juicio por asesinato, por ejemplo, y eso ha suscitado enormes debates sobre privacidad digital.
«En general, puede localizar a una persona, presumiendo que está en un área urbana», dijo Johnson.
La intensidad de espionaje de Adups varía según el teléfono, pero viene preinstalada en hasta 700 millones de dispositivos, incluidos los coches y otros dispositivos conectados. Algunos de los espías más agresivos enviarían el historial de navegación de una persona y sus marcadores en un navegador.
Johnson dijo que no encontró el spyware en ningún teléfono que cuesta más de US$300, ya que Adups está instalado principalmente en dispositivos más baratos. No es solo en dispositivos Blu, ya que Johnson en mayo encontró filtración de datos en el Cubo X16S también.
El teléfono chino, que se vende entre US$90 y US$110, estaba enviando registros de llamadas, historial del navegador y datos de ubicación sin que los usuarios lo supieran.
Cubot no respondió a las solicitudes de comentarios.
«El problema parece bastante extendido en los celulares de más baja gama», dijo Johnson.
Agregar comentario