Una vulnerabilidad presente en los teléfonos Xiaomi exponía las contraseñas por la 'fatiga del SDK'

Ciberseguridad y teléfono móvil, recurso
PIXABAY - Archivo
Publicado 05/04/2019 9:56:10CET

   MADRID, 5 Abr. (Portaltic/EP) -

   Una vulnerabilidad descubierta por la empresa de ciberseguridad Check Point en una aplicación de Xioami permitía a los atacantes insertar cualquier tipo de código malicioso de robo de contraseñas, 'ransomware' y rastreo del dispositivo al aprovecharse de un fenómeno conocido como 'fatiga del SDK'.

   El error se encontraba presente en uno de los Kit de Desarrollo de Software (SDK), un paquete de herramientas oficial para desarrolladores externos de 'software', de la aplicación de seguridad Guard Provider, preinstalada en los teléfonos Xioami. Este fallo ya ha sido comunicado a la compañía, quien lo ha subsanado, informa Check Point en un comunicado.

   La naturaleza de esta 'app' así como el uso de múltiples SDKs, permitían a los cibercriminales conectarse a la misma red Wi-Fi que la víctima, y llevar a cabo un ataque Man-in-the-Middle (MiTM), que aprovecha las lagunas de comunicación existentes entre los diversos 'softwares' que configuran la aplicación, para insertar cualquier tipo de código malicioso de robo de contraseñas, 'ransomware' o rastreo.

   Check Point describe el fenómeno de uso de múltiples SDKs como 'fatiga del SDK', algo que es cada vez más frecuente, según un estudio de SafeDK, que muestra que cada 'app' usa de media 18 kits SDK.

La fatiga del SDK complica el control y facilita los ataques, ya que que estos paquetes comparten la información y no tienen la capacidad de acceder a ella de manera independiente, de forma que si uno resulta afectado por un ataque, la seguridad de todos queda expuesta.

La compañía de ciberseguridad señala que el personal de seguridad de los fabricantes no está obligado a conocer las características de los SDK que se emplean en el desarrollo de las 'apps' pero sí deben tener en cuenta los riesgos ocultos.

Para leer más