BLU es una de las marcas que se hizo bastante popular en América por sus dispositivos con atractivas especificaciones técnicas a buen precio. De igual forma marcas menos conocidas como Doogee, Leagoo o Infinix. En este blog incluso hemos destacado varios modelos de celulares Android BLU muy atractivos que se lanzaron hace mucho tiempo atrás. Desafortunadamente, el costo atractivo de esos dispositivos viene a cambio de algo y me refiero concretamente al software Android en esos móviles, que es la parte más descuidada. Viene con problemas de seguridad y privacidad, algunos graves.
Por ejemplo, hace tiempo atrás se detectó que en el software Android de 2.8 millones de dispositivos de marcas no muy populares como BLU, Doogee, Leagoo, Xolo, Infinix y OTRAS, estaba incorporado un sistema de rootkit y backdoor, que podría permitir a un atacante tomar control total del equipo, evadiendo sus seguridades.
Bitsight, la firma que descubrió este problema, contabilizó 55 modelos de equipos afectados, la mayoría de marca BLU (esta no es la primera vez que se oye de un problema similar de esta marca). De esos millones de dispositivos, casi la mitad eran equipos de fabricante desconocido, probablemente usando un software Android completamente genérico o chino, y cuya gran cantidad de usuarios estaban en Estados Unidos, con conexiones provenientes de entidades de salud, gobierno y bancos.
Firmware chino, cuyas URLs de actualización de software cayeron en manos de terceros
Técnicamente, la inseguridad mencionada se encontraba en el software o programa que controla los componentes electrónicos de estos dispositivos, conocido como «firmware». En vez de ser una versión genérica de Android o desarrollada por estas empresas, era uno proporcionado por una empresa china llamada Ragentek Group.
En este firmware estaban grabadas algunas direcciones web a las que los dispositivos se conectaban de forma automática en busca de software. Obviamente esta era una configuración de Ragentek y en su momento dichas direcciones debieron ser propiedad de esta empresa. Lo sorprendente es que durante esta investigación ya no lo eran, probablemente por no haberlos renovado. La firma de seguridad BitSight Technologies aprovechó esta situación y adquirió la propiedad de esos dominios web con fines investigativos. De esta manera, básicamente se hizo con el control de todos los dispositivos que se conectaban a esas direcciones. Desde allí, BitSight podía (si hubiera querido) instalar en los dispositivos cualquier aplicación, como keyloggers o malware, que tenga privilegios totales en el sistema Android, sin que el usuario lo sepa. El software de estos equipos no verificaba la firma digital o autenticidad de una aplicación que se instale. Y todo lo instalado era albergado en el directorio /data/system, que es donde están las aplicaciones que pueden hacer cualquier cosa en el dispositivo.
Software que no encriptaba los datos
Para empeorar las cosas, el software de estos dispositivos no encriptaba los datos enviados y recibidos. Esto significaba que los datos del usuario podían estar expuestos a un tercero que pueda interceptar la comunicación. La solución temporal para los usuarios de estos dispositivos era que siempre usen una aplicación VPN cuando se conectaban a una red WiFi o hotspot público.
Cómo saber si mi celular está afectado?
Según Bitsight, después de hacer público su hallazgo, BLU lanzó un parche para arreglar esta configuración de sus dispositivos. Si quieres estar seguro, para chequear si un dispositivo está afectado por ese firmware chino y se está conectando a las URL mencionadas antes, hay que observar su tráfico de red con una aplicación como OS Monitor, disponible gratis en Google Play. Concretamente, hay que ver si existen conexiones salientes (outgoing connections) hacia las siguientes direcciones:
oyag.lhzbdvm.com
oyag.prugskh.net
oyag.prugskh.com
Entonces no debo comprar estos celulares?
Desafortunadamente, la falta de un buen sistema Android, digamos seguro y fiable, es un problema de la mayoría o quizá todas las marcas pequeñas o en expansión, ya que el desarrollo de software es costoso y difícil de asumir para estas empresas. Normalmente estas pequeñas marcas compran celulares genéricos a china, incluyendo su software, y los personalizan.
A veces ni siquiera se trata de eso, pues hasta el mismo gigante chino Xiaomi hace intencionalmente lo mismo en sus dispositivos (aunque no es de la gravedad mencionada aquí, es decir, a tal punto de que terceros puedan tomar el control de las aplicaciones que se instalan en tu móvil).
Si bien todo lo dicho en este artículo es de hace unos años atrás, aún se sigue viendo problemas similares. Por ejemplo, Preinstall Data 2 es una app preinstalada en BLU que ya un lector me mencionó abría páginas web por sí sola en su dispositivo R1 Plus (y esa es solo la parte que es evidente). Afortunadamente en este caso debería ser simple desactivar esta app con ADB.
Si vas a adquirir un celular de estas marcas o no tienes otra opción debido a que su precio es mejor, debes tener en cuenta que el software de estos dispositivos es más débil o vulnerable que el de marcas más fuertes, empezando por iPhone, Google Pixel o Samsung. Es el precio que debes pagar por adquirir un celular más barato y es algo que te debería importar si mueves dinero por el celular, tienes cuentas o información sensible guardada.
Puede un celular NUEVO venir con virus?
Interesante artículo. Tengo un Meizu M3s, y me dió curiosidad por ver si hacía alguna conexión hacia las direcciones web que aparecen en el contenido, pero tras instalar OS Monitor no me queda claro la forma en que puedo encontrar si el telefono se conecta a ellas.
La interfáz muestra el icono del proceso, protocolo e IP local y remota… pero, te pregunto ante mi ignorancia:
¿hay que hacer tap sobre cada una de los muchos procesos que se visualizan hasta encontrar si uno de ellos se conecta hacia alguna de esas tres direcciones?
Sí básicamente. Revisa las que dicen «System». Al tocar debe salir la dirección a la que se está conectando.