Los teléfonos Android pueden infectarse simplemente recibiendo una imagen a través de un mensaje de texto, según una investigación publicada el lunes.
Este es probablemente el mayor defecto de teléfono inteligente jamás descubierto. Afecta a un estimado de 950 millones de teléfonos en todo el mundo, alrededor del 95% de los androides en uso hoy en día.
El problema se debe a la forma en que los teléfonos Android analizan los mensajes de texto entrantes. Incluso antes de abrir un mensaje, el teléfono procesa automáticamente los archivos multimedia entrantes, incluidas imágenes, audio o vídeo. Eso significa que un archivo cargado de malware puede comenzar a infectar el teléfono tan pronto como se recibe, según Zimperium, una empresa de ciberseguridad especializada en dispositivos móviles.
Si esto suena familiar, es porque este defecto de Android es algo parecido al reciente hackeo de texto de Apple.
Pero en ese caso, un mensaje de texto con los caracteres correctos podría congelar un iPhone o forzarlo a reiniciarse. Este defecto de Android es peor, porque un hacker podría obtener el control completo del teléfono: limpiar el dispositivo, acceder a las aplicaciones o encender secretamente la cámara.
En una declaración a CNNMoney, Google (GOOGL) reconoció el defecto. Aseguró que Android tiene formas de limitar el acceso de un hacker a aplicaciones y funciones de teléfono separadas. Sin embargo, los hackers han sido capaces de superar estas limitaciones en el pasado.
El error afecta a cualquier teléfono que use software Android fabricado en los últimos cinco años, según Zimperium. Eso incluye dispositivos que ejecutan iteraciones de Froyo, Pan de jengibre, Panal de abeja, Sándwich de Helado, Jelly Bean, KitKat y piruleta de Android (Google nombra sus versiones de Android alfabéticamente después de postres).
Zimperium dijo que advirtió a Google sobre el defecto el 9 de abril e incluso proporcionó una solución. La compañía afirma que Google respondió al día siguiente, asegurando que un parche se compartiría con los clientes en el futuro.
Normalmente, en estas situaciones, las empresas reciben un período de gracia de 90 días para emitir una solución. Es una regla que incluso Google cumple cuando encuentra fallas en el software de otros.
Pero han pasado 109 días, y una solución todavía no está disponible en gran medida. Es por eso que Zimperium ahora se hace público con las noticias.
El problema ahora es la rapidez con la que Google se las arreglará para solucionar esto para todos. Mientras que Apple puede enviar actualizaciones a todos los iPhones, Google no puede.
Google es conocido por tener un sistema de distribución fracturado. Varias entidades se interponen entre Google y sus usuarios, y de forma rutinaria ralentizan el lanzamiento de nuevo software. Hay operadores de telefonía, como AT& T (T) y Verizon (VZ), y fabricantes de dispositivos físicos, como Samsung (SSNLF), todos los cuales deben trabajar juntos para emitir actualizaciones de software.
Google le dijo a CNNMoney que ya había enviado una solución a sus «socios».»Sin embargo, no está claro si alguno de ellos ha comenzado a transmitir eso a los propios usuarios.
Por esa misma razón, Google recientemente puso sus propios teléfonos Nexus en primer lugar para recibir actualizaciones.
Este podría ser un caso de prueba que muestra por qué es tan importante recibir actualizaciones rápidamente.
Chris Wysopal es un hacker de larga data y ahora es ejecutivo de la firma de ciberseguridad Veracode. Llamó a esta versión de Android de Heartbleed, el error devastador que puso en grave riesgo a millones de redes de computadoras el año pasado.
«Estoy interesado en ver si Google encuentra una forma de actualizar los dispositivos de forma remota», dijo. «A menos que puedan hacer eso, tenemos un gran desastre en nuestras manos.»