Descubren nueva vulnerabilidad que afecta a OnePlus, Xiaomi y Nokia; entre otros

Móviles

No ganamos para disgustos. Después de ver como en el pasado Xiaomi ha sido acusada de espionaje por incluir bloatware específico en sus teléfonos, y descubrir cómo comprar móviles de OnePlus a través de la tienda online de la marca puede poner en riesgo nuestros datos bancarios, ahora llega un nuevo problema para los propietarios de estos terminales.

La voz de alarma la dan los chicos de XDA Developers, quienes alertan de una vulnerabilidad presente en el sistema de arranque de móviles con chips Snapdragon alojados en su interior. La mayoría de los terminales afectados pertenecen a Oneplus, Xiaomi o Nokia, pero no son los únicos.

Según podemos leer en el foro de desarrolladores, la vulnerabilidad se encuentra en el modo de arranque alternativo de los móviles con chips Qualcomm. Los dispositivos que funcionan con procesadores del fabricante americano cuentan con un sistema de arranque primario (PBL) y otro alternativo (EDL). Este sistema es de solo lectura y tiene control total sobre el almacenamiento del dispositivo, por lo que numerosos fabricantes como OnePlus o Xiaomi han desarrollado herramientas que utilizan el modo EDL mediante un protocolo conocido como Firehose

Firehose puede utilizar una serie de comandos para examinar los datos dentro de la memoria de un dispositivo, pero recientemente investigadores de seguridad han descubierto vulnerabilidades críticas de los dispositivos al usar este modo. La cosa es seria, pues quien las aproveche podría obtener un control total de los dispositivos afectados.

Exploit con acceso físico

Por fortuna, no es tan sencillo acceder a esta vulnerabilidad descubierta en el protocolo FireHose empleado por OnePlus y Xiaomi, además de otras marcas. Para aprovechar este exploit, el atacante tiene que acceder al smartphone de forma física, pero ello no deja de suponer una grave amenaza para los usuarios que además, según los investigadores de seguridad, no puede ser “parcehado”.

Por medio de este sistema y aprovechando este tipo de vulnerabilidades, los investigadores lograron desbloquear y rootear múltiples dispositivos de Xiaomi sin pérdida de datos. Lo mismo sucedió al trabajar con un Nokia 6 o con dispositivos de OnePlus.

Dispositivos afectados

Como decimos, OnePlus, Xiaomi y Nokia, son los principales fabricantes de teléfonos que presentan este problema, pero no son los únicos. este es el listado completo de smartphones vulnerables según la compañía de seguridad:

  • LG G4
  • Nokia 6
  • Nokia 5
  • Nexus 6
  • Nexus 6P
  • Moto G4 Plus
  • OnePlus 5
  • OnePlus 3T
  • OnePlus 3
  • OnePlus 2
  • OnePlus X
  • OnePlus One
  • ZTE Axon 7
  • ZUK Z1
  • ZUK Z2
  • Xiaomi Note 5A
  • Xiaomi Note 5 Prime
  • Xiaomi Note 4
  • Xiaomi Note 3
  • Xiaomi Note 2
  • Xiaomi Mix
  • Xiaomi Mix 2
  • Xiaomi Mi 6
  • Xiaomi Mi 5s
  • Xiaomi Mi 5s Plus
  • Xiaomi Mi 5x
  • Xiaomi Mi 5
  • Xiaomi Mi 3
  • Xiaomi Mi A1
  • Xiaomi Mi Max2
  • Xiaomi Redmi Note 3
  • Xiaomi Redmi 5A
  • Xiaomi Redmi 4A
Escrito por Miguel Martínez

Fuente > XDA Developers