Tu smartphone, ¿en peligro si cargas la batería en puntos de carga gratuitos?

La seguridad de los smartphones puede verse comprometida mientras se carga el dispositivo a través de una conexión USB estándar al ordenador o algún otro puerto. ¿Te has preguntado si tu smartphone y los datos que contiene están seguros cuando conectas el dispositivo a puntos de carga de batería gratuitos de aeropuertos, cafés, parques o transporte público?.

Como parte de una investigación realizada por Kaspersky Lab en la que los analistas probaron varios smartphones con diferentes sistemas operativos Android e iOS con el fin de entender cómo es la transferencia de datos a dispositivos externos mientras están conectados a un PC o Mac para cargar batería. La prueba mostró que los móviles abren una gran cantidad de datos al ordenador durante el «apretón de manos» (el proceso de fusión entre el dispositivo móvil y el PC/Mac), incluyendo: el nombre del dispositivo, fabricante del dispositivo, el tipo de dispositivo, número de serie, la información de firmware, del sistema operativo, el sistema de archivo /lista de archivos, el ID chip electrónico… La cantidad de datos enviados durante el periodo en el que han estado conectados varía según el dispositivo y el anfitrión, pero todos transferían la misma información básica como mínimo, como el nombre del dispositivo, fabricante, número de serie, etc. Esto puede suponer un problema de seguridad.

En 2014, en la conferencia Black Hat se expuso como un teléfono móvil podría infectarse con malware simplemente conectándose a una estación de carga falsa. Ahora, dos años después de este anuncio original, los analistas de Kaspersky Lab han reproducido esta situación simplemente utilizando un equipo y un cable micro USB estándar, armado con un conjunto de comandos especiales (los denominados Comandos AT), que fueron capaces de realizar un re-flash del smartphone e instalar silenciosamente una aplicación root en él. Los teléfonos quedaron totalmente comprometidos, a pesar de que no se utilizó el malware.

Aunque aún no se ha dado a conocer ningún incidente real que implique a estaciones de carga, el robo de datos de los móviles conectados a un ordenador sí se ha detectado en el pasado. Por ejemplo, esta técnica se utilizó en 2013 como parte de la campaña de ciberespionaje Octubre Rojo. Y el grupo Hacking Team también hizo uso de una conexión de ordenador para cargar un dispositivo móvil con programas maliciosos.

Ambos agentes de amenaza encontraron una manera de explotar el intercambio de datos inicial, supuestamente seguro, entre el smartphone y el PC conectado. Al marcar los datos de identificación recibidos desde el dispositivo conectado, los hackers fueron capaces de descubrir qué modelo de dispositivo estaba usando la víctima y progresar su ataque con un exploit. Esto no habría sido tan fácil de conseguir si los smartphones no intercambiaran automáticamente los datos con el PC al conectarse al puerto USB.

Resulta curioso ver como casi dos años después de demostrar que un smartphone puede infectarse a través de una conexión USB, siga siendo una forma eficaz de ataque. Los riesgos son obvios: como usuario pueden rastrearte a través del ID del dispositivo; el teléfono podría terminar lleno de adware o ransomware; y, si el móvil es de una gran empresa, por podría fácilmente convertirse en el blanco de los hackers profesionales.