Tech

Google halla 11 vulnerabilidades graves de seguridad en el Galaxy S6

Google realizó una competencia para hallar errores y fallas de seguridad en uno de los dispositivos de gama alta con Android más populares: el Samsung Galaxy S6; las 11 fallas encontradas fueron notificadas a la firma coreana, quien ya resolvió ocho de ellas.
Jair López
04 noviembre 2015 12:17 Última actualización 04 noviembre 2015 12:38
Samsung Galaxy S6 – 32 GB

Tras la notificación de Google, el fabricante coreano de teléfonos resolvió al menos ocho vulnerabilidades. (Especial)

Expertos de Google, enlistados en el equipo Project Zero, llevaron a cabo una competencia para hallar errores y fallas de seguridad en uno de los dispositivos de gama alta con Android más populares: el Samsung Galaxy S6, en el que encontraron al menos 11 problemas “de impacto grave” en tan sólo una semana.

Google refirió que tras notificarle al fabricante coreano de teléfonos, al menos ocho vulnerabilidades ya fueron resueltas.

El gigante del internet dijo que el objetivo de llevar a cabo esta competencia entre el equipo de América del Norte y de Europa de Project Zero fue hallar algunos inconvenientes en equipos OEM, que son los dispositivos a los que se les introducen un código adicional a su sistema operativo de Proyecto Fuente Abierta Android (AOSP por sus siglas en inglés).

“Una semana de investigación mostró que hay una serie de puntos débiles en el Samsung Galaxy S6. En el transcurso de una semana, se encontró un total de 11 cuestiones con un impacto grave de seguridad”, escribió la firma en un post.

Entre las fallas que destacó la compañía están:

La vulnerabilidad CVE-2015-7888, que permite que un archivo sea escrito como sistema. Google describió que existe un proceso que escanea archivos ZIP y descomprime éste. Pero por desgracia la API que descomprime no verifica la ruta del archivo por lo que se puede alojar en lugares inesperados.

Google explicó otro error nombrado CVE-2015-7889, que consiste en una falla de autenticación del usuario, lo que permite que una app sin permisos pueda enviar una serie de intentos que causa que los correos del usuario sean enviados a otra cuenta.

“Es un ataque muy ruidoso, ya que los mensajes de correo electrónico enviados aparecen en la carpeta de enviados del usuario, pero sigue siendo de fácil acceso a los datos que ni siquiera una aplicación privilegiada debe ser capaz de acceder”, detalló.

Además detectaron una serie de errores los cuales “resultaron muy preocupantes” ya que eran muy rápidos de encontrar y por ende fáciles de explotar de manera acelerada por algún atacante.

Google señaló que tras el hallazgo de las fallas, se le notificó a Samsung.

“Informamos estos temas a Samsung poco después de que los descubrimos. Ellos respondieron recientemente, afirmando que habían resuelto ocho de los temas en su versión de mantenimiento de octubre, y los temas restantes se arreglarán en noviembre. Estamos muy agradecidos por sus esfuerzos en remendar estas cuestiones”, agregó.