Tabla de contenido:
- ¿Qué es QualPwn?
- ¿Qué es una WLAN?
- ¿Se ha reparado QualPWN?
- ¿Qué dispositivos están afectados?
- ¿Se ha utilizado QualPwn en el mundo real?
- ¿Qué debo hacer hasta que reciba el parche?
- Más información está por llegar
- Consigue más Pixel 3
- Google Pixel 3
Su teléfono está construido a partir de una gran variedad de piezas variadas, y muchas de ellas son "inteligentes" y tienen sus propios procesadores y firmware incorporados. Eso significa que hay muchos lugares para encontrar errores o vulnerabilidades que permitirían a un mal actor tener acceso a cosas que no deberían. Las empresas que fabrican estas piezas siempre intentan mejorar y endurecer las cosas para evitarlo, pero les es imposible encontrar todo antes de que un componente salga del laboratorio y termine en la línea de ensamblaje.
La mayoría de las vulnerabilidades se reparan antes de que alguien sepa que existen, pero algunas lo logran.
Esto hace que encontrar estos errores y vulnerabilidades sea una industria por derecho propio. En DEFCON 27 y Black Hat 2019, grandes lugares donde se hacen públicos los exploits y se demuestran (y es de esperar, parcheados), el Equipo Tencent Blade ha anunciado una vulnerabilidad en los chips Qualcomm que permitiría a un atacante obtener acceso a través del núcleo y potencialmente métete en tu teléfono y causa daño. La buena noticia es que se anunció de manera responsable y Qualcomm trabajó con Google para solucionar el problema con el Boletín de seguridad de Android de agosto de 2019.
Aquí está todo lo que necesita saber sobre QualPwn.
¿Qué es QualPwn?
Además de ser un nombre divertido, QualPwn describe una vulnerabilidad en los chips Qualcomm que permitiría a un atacante comprometer un teléfono a través de la WLAN (Wireless Local Area Network) y el módem celular de forma remota. La plataforma Qualcomm está protegida por Secure Boot, pero QualPwn derrota a Secure Boot y le da a un atacante acceso al módem para que las herramientas de depuración puedan cargarse y la banda base pueda controlarse.
Una vez que eso sucede, es posible que un atacante pueda explotar el kernel sobre el que se ejecuta Android y obtener privilegios elevados: puede tener acceso a sus datos personales.
No tenemos todos los detalles sobre cómo sucedería esto o lo fácil que sería, pero estos se presentarán durante las presentaciones de Tencent Blade's Black Hat 2019 y DEFCON 27.
¿Qué es una WLAN?
WLAN significa Wireless Local Area Network y es un nombre general para cualquier grupo de dispositivos, incluidos los teléfonos móviles, que se comunican entre sí de forma inalámbrica. Una WLAN puede usar Wi-Fi, celular, banda ancha, Bluetooth o cualquier otro tipo inalámbrico para comunicarse y siempre ha sido un honeypot para las personas que buscan ataques.
Debido a que tantos tipos de dispositivos diferentes pueden ser parte de una WLAN, existen estándares muy específicos sobre cómo se crea y mantiene una conexión. Su teléfono, incluidos los componentes como los chips de Qualcomm, deben incorporar y seguir estos estándares. A medida que avanzan los estándares y se crea nuevo hardware, pueden ocurrir errores y vulnerabilidades en la forma en que se crean las conexiones.
¿Se ha reparado QualPWN?
Sí. El Boletín de seguridad de Android de agosto de 2019 tiene todo el código necesario para parchar los dispositivos afectados de Qualcomm. Una vez que su teléfono reciba el parche de agosto de 2019, estará a salvo.
¿Qué dispositivos están afectados?
El equipo Tencent Blade no probó todos los teléfonos con un chip Qualcomm, solo el Pixel 2 y el Pixel 3. Ambos eran vulnerables, por lo que todos los teléfonos que se ejecutan en las plataformas Snapdragon 835 y 845 probablemente se vean afectados como mínimo. El código utilizado para parchear QualPwn se puede aplicar a cualquier teléfono que tenga un procesador Qualcomm y Android 7.0 o superior.
Hasta que se publiquen todos los detalles, es seguro asumir que todos los conjuntos de chips modernos de Snapdragon deben considerarse en riesgo hasta que se corrijan.
¿Se ha utilizado QualPwn en el mundo real?
Este exploit fue revelado responsablemente a Google en marzo de 2019, y una vez verificado, se lo envió a Qualcomm. Qualcomm notificó a sus socios y envió el código para parchearlo en junio de 2019, y cada parte de la cadena fue parcheada con el código utilizado en el Boletín de seguridad de Android de agosto de 2019.
No se han informado casos de explotación de QualPwn en la naturaleza. Qualcomm también emitió la siguiente declaración sobre el tema:
Proporcionar tecnologías que admitan seguridad y privacidad robustas es una prioridad para Qualcomm. Elogiamos a los investigadores de seguridad de Tencent por utilizar prácticas de divulgación coordinadas estándar de la industria a través de nuestro Programa de recompensas de vulnerabilidad. Qualcomm Technologies ya ha publicado correcciones para los OEM, y alentamos a los usuarios finales a actualizar sus dispositivos a medida que los OEM dispongan de parches.
¿Qué debo hacer hasta que reciba el parche?
Realmente no hay nada que puedas hacer en este momento. Los problemas han sido marcados como críticos por Google y Qualcomm y se han corregido rápidamente, por lo que ahora tiene que esperar a que la compañía que fabricó su teléfono se lo entregue. Los teléfonos Pixel, como Pixel 2 y 3, junto con algunos otros de Essential y OnePlus, ya tienen el parche disponible. Es probable que otros de Samsung, Motorola, LG y otros tarden entre unos días y algunas semanas en llegar a los teléfonos.
Mientras tanto, siga las mismas mejores prácticas que siempre debe usar:
- Siempre use una pantalla de bloqueo fuerte
- Nunca sigas un enlace de alguien que no conoces y en quien confías
- Nunca envíe datos personales a sitios web o aplicaciones en los que no confíe
- Nunca le des tu contraseña de Google a nadie más que a Google
- Nunca reutilice las contraseñas
- Siempre use un buen administrador de contraseñas
- Utilice la autenticación de dos factores siempre que pueda
Más: Los mejores administradores de contraseñas para Android en 2019
Es posible que estas prácticas no eviten una hazaña de esta naturaleza, pero pueden mitigar el daño si alguien obtuviera algunos de sus datos personales. No lo hagas fácil para los malos.
Más información está por llegar
Como se mencionó, el Equipo Tencent Blade publicará todos los detalles sobre QualPwn durante las próximas presentaciones en Black Hat 2019 y DEFCON 27. Estas conferencias se centran en la seguridad de los dispositivos electrónicos y a menudo se utilizan para detallar exploits como este.
Una vez que Tencent Blade proporcione más detalles, sabremos más sobre lo que podemos hacer para mitigar cualquier riesgo con nuestros propios teléfonos.
Consigue más Pixel 3
Google Pixel 3
- Revisión de Google Pixel 3 y 3 XL
- Los mejores casos de Pixel 3
- Las mejores fundas Pixel 3 XL
- Los mejores protectores de pantalla Pixel 3
- Los mejores protectores de pantalla Pixel 3 XL
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
