Los puntos de recarga gratuitos disponibles en sitios públicos, como aeropuertos, cafés, parques y transporte público podrían significar un riesgo de seguridad para las usuarios.
Una investigación de Kaspersky Lab puso a prueba varios teléfonos inteligentes con sistemas operativos Android e iOS, con el fin de averiguar qué datos transfiere el dispositivo mientras está conectado a una PC o Mac para cargarse.
Los resultados mostraron que todos los móviles investigados revelan una gran cantidad de datos a la computadora durante el llamado ‘handshake‘ (el protocolo de comunicación entre el dispositivo y la PC/Mac a la que está conectado), lo cual incluye: el nombre del dispositivo, fabricante, tipo de dispositivo, número de serie, información del firmware, información del sistema operativo, sistema de archivos/lista de archivos, e identificación del chip electrónico.
Con sólo una PC común y un cable USB estándar micro, armados con un conjunto de comandos especiales (los denominados Comandos AT), los expertos de Kaspersky Lab fueron capaces de reconfigurar un teléfono inteligente e instalarle silenciosamente una aplicación raíz. Esto equivale a poner en riesgo total al dispositivo, a pesar de que no se utilizó malware.
Aunque no se ha publicado información sobre los incidentes reales que implican las estaciones de carga falsas, el robo de datos de dispositivos móviles conectados a una computadora ya se ha observado en el pasado.
Por ejemplo, esta técnica se utilizó en 2013 como parte de la campaña de ciberespionaje Octubre Rojo. El grupo Hacking Team también hizo uso de una conexión de computadora para cargar malware en un dispositivo móvil. Ambos actores de amenazas encontraron una manera de aprovechar el supuestamente seguro protocolo de comunicación inicial entre el teléfono inteligente y la PC a la que está conectado.
Al revisar los datos de identificación que recibieron del dispositivo conectado, los hackers fueron capaces de descubrir el modelo de dispositivo que usaba la víctima y dar marcha a su ataque con un exploit elegido de manera específica. Esto no habría sido tan fácil de conseguir si los teléfonos inteligentes no intercambiaran de forma automática los datos con una PC al conectarse al puerto USB.
Con el fin de protegerse contra el riesgo de posibles ataques a través de puntos de recarga desconocidos y de computadoras inseguras, se recomiendan los siguientes pasos:
[box]
- Use sólo puntos USB de recarga y computadoras de confianza para cargar el dispositivo;
- Proteja su teléfono móvil con una contraseña o con otro método, como el reconocimiento de huellas dactilares, y no lo desbloquee durante la carga;
- Utilice las tecnologías de cifrado y contenedores seguros (áreas protegidas en los dispositivos móviles que se utilizan para aislar la información sensible) para proteger los datos;
- Proteja su dispositivo móvil y su PC/Mac contra malware con la ayuda de una solución de seguridad comprobada. Esto ayudará a detectar malware incluso si se utiliza una ‘vulnerabilidad de carga’.
[/box]