Las vulnerabilidades se encuentran dentro de unas herramientas de gestión que los fabricantes y los operadores integraron en los teléfonos y tabletas para configurarlos de forma remota. Aunque algunos diseñan su propia herramienta, la mayoría utiliza una desarrollada por un tercer vendedor específico al que los investigadores, Mathew Solnik y Marc Blanchou de Accuvant Labs, no identificarán hasta que presenten sus pruebas la próxima semana en una conferencia de seguridad en Las Vegas, informa Wired.
Los operadores usan la herramienta de gestión para enviar remotamente las actualizaciones de firmware, configurar los teléfonos para la itinerancia o bloquear los dispositivos a los proveedores de servicios específicos. Pueden elegir en la herramienta las funciones básicas o solicitar otras adicionales. Solnik encontró que algunos teléfonos tienen las características para limpiar de forma remota el dispositivo, cambiar el PIN para el bloqueo de pantalla, configurar y desactivar las aplicaciones etc. Y los sistemas dan al operador la opción de hacer los cambios sin preguntar al consumidor, observa el medio.
Asimismo, cuantas más características de la herramienta de gestión ofrece el operador, más puede hacer un atacante. Como mínimo, todos los dispositivos examinados permitirían a un 'hacker' cambiar toda la funcionalidad de la red celular y controlar las actualizaciones de firmware. Incluso los teléfonos que utilizan únicamente el sistema de gestión más básico tienen vulnerabilidades de memoria que permitirían a un agresor ejecutar un código o instalar aplicaciones maliciosas, de acuerdo con los autores del estudio.
Según los investigadores, la herramienta se utiliza de alguna forma en más de 2.000 millones de teléfonos de todo el mundo. Las vulnerabilidades hasta ahora han sido encontradas en dispositivos de Android y BlackBerry y en un pequeño número de iPhones. Los dispositivos de Windows Mobile aún no se han comprobado.
Los autores del estudio dicen que por ahora no hay señales de que alguien se haya aprovechado de las vulnerabilidades, y la compañía que hace la herramienta anunció que ha emitido una solución que resolvería el problema.