El problema del smishing o phishing vía SMS es prácticamente tan antiguo como los propios teléfonos móviles, pero un estudio de la Universidad Estatal de Carolina del Norte vuelve a recordarnos sus peligros con un giro malvadamente creativo. Concretamente, un equipo de investigadores ha descubierto un agujero de seguridad en Android que afecta a las versiones Gingerbread, Ice Cream Sandwich y Jelly Bean, que podrían recibir falsos mensajes para cometer cualquier fechoría.

Explicando el mecanismo de forma sencilla, el usuario debe instalar una aplicación infectada; acto seguido, el programa activa su ataque simulando la recepción de "un mensaje de texto de alguien en la lista de contactos del teléfono o de un banco de confianza". Este falso mensaje, lógicamente, puede solicitar información personal como contraseñas o datos bancarios sensibles; detalles que nunca te pediría un banco responsable a través de un SMS o e-mail, pero que mucha gente envía sin pensárselo dos veces.

El equipo responsable de este descubrimiento no piensa compartir las pruebas de la existencia de este agujero hasta que sea cerrado con una actualización, que según la universidad ya está siendo examinada por los desarrolladores de Google. Mientras tanto, es necesario recordar dos normas de seguridad básicas que muchos usuarios seguirán ignorando de todas formas: no instales aplicaciones que no sean de confianza, y jamás respondas a los mensajes SMS, e-mail o de cualquier otro tipo que soliciten contraseñas o números de tarjeta. Especialmente si proceden de ricos príncipes nigerianos ungidos en la luz del Altísimo.

[Foto: Cle0patra, CC 2.0]

Las personas con un conocimiento de tecnología un poquito más profundo al común de la gente saben identificar emails falsos (phishing) con relativa facilidad. Eso es bueno para nosotros y básicamente malo para el resto, porque según nos cuenta el investigador de seguridad pod2g, los SMS de algunos móviles sufrirían de un problema similar al de los emails, permitiendo que hackers se hagan pasar por algún conocido o compañía con tan sólo incluir una línea de código en el mensaje.

La especificación para SMS contiene un espacio opcional para "responder-a", que en el caso del iPhone estaría siendo usado para remplazar al "De". Eso implica que un hacker podría hacerse pasar por alguna compañía (por ejemplo: un banco) o un familiar y enviar un enlace a una página web desde la cual podría robar datos privados.

El investigador dice que muy pronto publicará una herramienta que demostrará esta vulnerabilidad, pero mientras tanto ha pedido que Apple solucione el problema lo antes posible, con la esperanza de que el bug sea parchado antes del lanzamiento de iOS 6, porque el fallo estaría presente en absolutamente todas las versiones de iOS. En realidad nos parece que si hackers no han abusado en gran manera de esta vulnerabilidad desde 2007, posiblemente no sea tan grave como se piensa, pero de todas maneras es mejor ser precavido y prestar atención.

Llevará mucho tiempo hasta que las compañías encuentren el equilibrio perfecto con la organización de sus tiendas de aplicaciones. Por un lado tenemos algunas con reglas ridículas, y por otro las que casi no tienen restricciones, como el Android Market.

Debido a que es difícil controlar las aplicaciones disponibles para Android, un hacker llamado Droido9 aprovechó para ofrecer software que haría transacciones bancarias. Como era de esperarse, no es más que una herramienta de "phishing" con la que robó (¿robaron?) información financiera de los usuarios, cuyas cuentas fueran desplumadas. Este desagradable suceso nos obliga a recordar que siempre se debe tener mucho cuidado con el software que se usa; recuerda que no siempre todo es tan bonito como lo pintan.

[Vía Slashdot]

El ataque redirige a un portal falso similar al de ING Direct para obtener las credenciales del usuario. De momento, el problema se concentra en los Países Bajos, aunque la BBC ha informado que el código malicioso podría extenderse a través del WiFi.