Android es vulnerable a códigos maliciosos USSD (cómo parchearlo)

Todos aquellos que esteis al día con los blogs sobre dispositivos móviles, estaréis al tanto de una vulnerabilidad que se presentó la semana pasada para móviles Android, y en especial para algunos modelos de Samsung, HTC o Motorola. 

Lo cierto es que lo que en principio parecía que afectaba únicamente a algunos smartphone de la serie Galaxy, acabó por afecta a buena cantidad de modelos actuales de diferentes compañías, y la vulnerabilidad es tal que puede contratarse servicios de pago o resetearte el teléfono a la configuración de fábrica.

Además, los ataques podrían venir de muy diversos frentes, ya sea mediante una web (o enlace, como los que acostumbramos a abrir de Twitter), mediante un código QR, SMS, aplicando tecnología NFC o en definitiva, mediante cualquier aplicación que transfiera información al dispositivo.

La vulnerabilidad afecta a un vacio de seguridad en el dialer de los smartphone que permite a código malicioso inyectar una petición de código USSD, un tipo de código creado por los operadores para simplificarnos la vida, y que por lo general estamos acostumbrados a usar para consultar el saldo que nos queda (*123# en vodafone) o para consultar el  IMEI del teléfono (*#06#).

Estos códigos, con algunas diferencias según el operador de nuestro contrato, empiezan con un asterisco (*), seguido de almohadilla o una numeración, y siempre acaban con almohadilla (#).

El problema es que entre los diferentes códigos utilizables, existen algunos tan simpáticos como el que formatea tu smartphone a como vino de fábrica, o aquellos propios de operadoras que te permiten contratar un servicio (previsiblemente de pago), y ya ni hablemos de obtener datos privados como el IMEI para otros fines nada halagüeños.

Los fabricantes de software ya están al tanto, pero mientras se ponen las pilas y sacan un parche para cada dispositivo, ESET ha sacado una aplicación gratuita, disponible desde Google Play que hace de cortafuegos cuando nos llega una solicitud de este tipo.

En la siguiente infografía (pinchar en ella para aumentarla de tamaño), también creación de ESET, tenéis un código QR que hace una petición no maliciosa (tranquilos que no os va a borrar el móvil) para comprobar si tu terminal está en peligro, y en caso afirmativo, otro código QR con la descarga desde Google Play de la aplicación.

Para activarla, basta con, una vez instalada, volver a consultar el primer QR, y esta vez, elegir por defecto la aplicación Check with ESET USSD. De esta manera, cada vez (esperemos que pocas) que estéis ante un código que pretende inyectaros otro código USSD, os saltará la aplicación, avisándoos de lo que está ocurriendo y preguntándoos si estáis de acuerdo.