¿Recuerdas BlackPhone, el smartphone que prometía proteger tu privacidad? El móvil, un proyecto la española Geeksphone junto a la firma de seguridad Silent Circle, ha resultado ser mucho más vulnerable de lo que prometía. Un fallo de seguridad permitía a un atacante robar contactos y descifrar mensajes del equipo.

El investigador de seguridad Mark Dowd, ha detallado cómo un fallo de seguridad en SilentText, la aplicación nativa de mensajería del móvil, permitía a un atacante descifrar de forma remota los mensajes enviados con el smartphone, obtener información de la ubicación del usuario, acceder a todos sus contactos de la agenda, o escribir código adicional para controlar otros sistemas del equipo, incluido a nivel de hardware. Dowd asegura que ha comunicado en privado la vulnerabilidad a los ingenieros de Silent Circle, quienes ya han solucionado y parcheado el problema. Por eso publica ahora un extenso artículo técnico detallando el fallo.

Advertisement

Como explica Dowd, el problema de la aplicación nativa de mensajería SilentText consistía en una vulnerabilidad conocida como "type confusion", un tipo de fallo que ocurre cuando el sistema interpreta un dato erróneamente por otro. Este fallo podía ser utilizado por un atacante que enviara al usuario del móvil un enlace o aplicación diseñada para aprovechar la vulnerabilidad, reemplazando unos contenidos por otros. Una vez hecho, el atacante tenía acceso a la información del usuario mencionada antes (contactos, ubicación geográfica...) y, con código adicional, podría ganar control completo del móvil, sin su dueño siquiera darse cuenta.

Silent Circle ha enviado a Gizmodo en Español su visión del asunto. En un breve comunicado, insisten en que el problema está solucionado y ya no hay ningún riesgo:

Estamos constantemente trabajando en mejorar el software de Silent Circle y BlacPhone para asegurar que ofrecemos unos de los productos más seguros y privados. Nos alertaron de este problema concreto el pasado noviembre. Desde entonces se ha resuelto y ya no afecta a ningún usuario de BlackPhone o Silent Circle.

Es cierto, es imposible crear un producto infalible. Pero BlackPhone presumía de ser el móvil más seguro del mercado. Con la app SilentText, prometía mensajería con cifrado de punto a punto mediante un sistema que, aseguraban, era inaccesible para cualquier atacante o gobierno que quisiera espiarte. Como ha demostrado Mark Dowd, esa promesa no era 100% real. La vulnerabilidad ya ha sido resuelta, pero el fallo es un recordatorio de que no existe un hardware ni software completamente seguro. Quien diga lo contrario, probablemente miente, o esconde algo. [Mark Dowd vía Ars Technica]

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)