BlackPhone es un smartphone que ha llegado al mercado el año pasado dependiendo desde su lanzamiento dos ámbitos que, hasta ahora, no han preocupado a ningún fabricante: la seguridad y la privacidad. Una apuesta para dificultar las labores de rastreo y espionaje de las principales compañías y organizaciones gubernamentales pero que el más mínimo fallo podría comprometer a sus usuarios, y así fue.
Una vulnerabilidad grave en el sistema operativo de BlackPhone permitía a piratas informáticos y a usuarios no autorizados ejecutar código remoto en la memoria del dispositivo con lo que poder descifrar los datos del dispositivo y acceder así a todas las conversaciones. Para explotar esta vulnerabilidad simplemente bastaba con enviar un SMS al dispositivo de la víctima que, una vez se recibía, ya quedaba comprometido. Quizás os pueda ser de utilidad conocer las primeras impresiones del AVM FRITZ!Fon C6.
La vulnerabilidad en cuestión residía en Silent Text, aplicación diseñara para enviar mensajes seguros a otros usuarios de la misma. Esta aplicación (disponible para todos en la Google Play Store) viene por defecto como parte de la suite del BlackPhone y, sin darse cuenta, todos los dispositivos quedaron comprometidos al descubrir la vulnerabilidad.
Una correcta explotación de este fallo de seguridad en el smartphone BlackPhone puede permitir al atacante:
- Descifrar y leer los mensajes.
- Acceder a la cuenta SilentCircle.
- Acceder a la lista de contactos y descargarla.
- Localizar el dispositivo a través de GPS.
- Escribir en el almacenamiento externo del dispositivo.
- Ejecutar código por parte del pirata informático (se intensifica el peligro si se tienen permisos de root).
Como hemos dicho, la aplicación ha sido ya actualizada y el dispositivo vuelve a ser 100% seguro. Igualmente, aquellos usuarios que quieran garantizar de nuevo una protección del 100% deberían restablecer sus dispositivos a los valores de fábrica (para evitar que en caso de haber sido atacados la seguridad se vea comprometida por algún código residente) y evitar, si es posible, obtener los permisos de root en el sistema operativo ya que esto supone una considerable brecha de seguridad en Android.
¿Has probado algún dispositivo BlackPhone?