La preocupación por la seguridad y la privacidad de los datos personales es un tema que cada vez cuenta con una mayor atención por parte de los usuarios, especialmente tras hecho como el que hoy os contamos según el cual algunos smartphones de bajo coste que operan bajo sistema operativo Android contarían con un fallo de seguridad que habría enviado datos de usuarios a China.
En la actualidad existe una amplia variedad de teléfonos inteligentes de bajo coste y que cuentan con grandes prestaciones sin embargo, siempre existen preocupaciones acerca de estos dispositivos tan baratos. Una de estas preocupaciones es la relativa a la seguridad, algo que se ha convertido en punto prioritario tanto para las principales marcas como para los usuarios. Ahora, la firma de seguridad Kryptowire ha descubierto una supuesta puerta trasera que se escondía dentro de algunos teléfonos inteligentes Android de bajo presupuesto.
La firma de seguridad Kryptowire ha recogido y documentado en un nuevo informe toda una colección de herramientas de software de Adups que aparentemente puede recopilar información procedente de mensajes SMS, registros de llamadas, nombres de contactos, información de IP, datos IMEI y mucho más.
Una vez que este software ha hecho la labor de recopilación de datos, los envía a determinados servidores propiedad de terceros y ubicados en China, sin que en ningún momento el usuario sea notificado de ello.
Según se relata en dicho informe, el software en cuestión incluso sería capaz de orientarse a través de determinadas palabras clave que el usuario utiliza en sus mensajes y realizar un seguimiento a través de los diversos tipos de aplicaciones que son utilizadas en el dispositivo.
Así es como el informe de Kryptowire explica de forma detallada lo que Adups estaba haciendo en estos dispositivos Android:
Estos dispositivos transmiten activamente la información del usuario y del dispositivo, incluyendo el cuerpo completo de los mensajes de texto, las listas de contactos, el historial de las llamadas con los números de teléfono completos, los identificadores únicos de los dispositivos, incluyendo la Identidad Internacional de Suscriptor Móvil (IMSI) y el [código] IMEI. El firmware podría dirigirse a usuarios específicos y mensajes de texto que coincidan con palabras clave definidas de forma remota. El firmware también recopiló y transmitió información sobre el uso de aplicaciones instaladas en el dispositivo supervisado, eludió el modelo de permiso de Android, ejecutó comandos remotos con privilegios escalonados (del sistema) y pudo reprogramar de forma remota los dispositivos… El firmware que se envía con el dispositivo móvil y actualizaciones posteriores permitieron la instalación remota de aplicaciones sin el consentimiento de los usuarios y, en algunas versiones del software, la transmisión de información de ubicación del dispositivo [con gran precisión].
Según la compañía que instala este software, Shanghai AdUps Technologies, en la actualidad este software está instalado y funcionando en más de 700 millones de dispositivos Android repartidos por prácticamente todo el mundo, lo que incluye tanto teléfonos móviles como tablets e incluso incluyendo todo, desde teléfonos a tabletas e incluso sistemas de entretenimiento. Los teléfonos inteligentes de Huawei y ZTE utilizan este software en China, pero también algunos dispositivos estadounidenses se han visto afectados.
El informe de Kryptowire señala específicamente al dispositivo BLU R1 HD, un teléfono inteligente que se ha hecho muy popular debido a su precio tan asequible, tan sólo 50 dólares. Aparentemente, el BLU R1 HD utilizó el software como parte de su método para enviar las actualizaciones al propio dispositivo, aunque por el momento aún no está claro si esta «puerta trasera» de seguridad afecta sólo a este modelo o también a otros teléfonos inteligentes de la compañía se ven afectados.
En cuanto Kryptowire descubrió este problema de seguridad, lo notificó inmediatamente a Google, Adups, BLU y Amazon; este último ha retirado recientemente el BLU R1 HD de su sitio web, probablemente por esta razón, aunque sigue disponible a través de varios operadores.
Según una declaración a Ars Technica, desde entonces BLU ya habría solucionado este problema que afectó a unos 120.000 dispositivos.