Adups, el 'software' chino que espía tu móvil (y que no vas a poder detectar)

Nuevo episodio de tensión entre Estados Unidos y China. Esta vez, la culpa la tienen millones de teléfonos móviles (especialmente de fabricantes chinos, pero también de otros países) que tienen un agujero de seguridad en su código por el que se ha enviado información personal hacia China. La práctica, revelada por 'The New York Times', va un paso más allá de la tradicional puerta trasera, ya que el agujero se ha encontrado en el 'firmware' del teléfono, una capa del código a la que el usuario común no tiene acceso. Marcas conocidas y con un gran volumen de mercado en España, como Huawei o ZTE, están entre las afectadas.

TE PUEDE INTERESAR

Cómo saber si tu móvil Android está infectado (y cómo solucionarlo)

J. Esteve

El problema está relacionado con el módulo GSM del teléfono. "Android no tiene un módulo de 'software' que tenga acceso a las librerías de las redes de operadores. Se trata de un código binario que hace que ese módulo de 'hardware' funcione. Los fabricantes acostumbran incluir un código que, por su coste, es cerrado, y no se tiene acceso al código fuente, por lo que nadie puede ojear qué está pasando", explica Carlos Tomás, CTO de Enigmedia, compañía dedicada a la seguridad en el ámbito de la telefonía móvil.

Adups, una compañía afincada en Shanghái, es la responsable de este código que se ha encontrado en teléfonos Huawei, ZTE y en marcas de otros fabricantes, como la estadounidense BLU. "El fabricante asegura que ese código solo estaba destinado al mercado interno, pero que no lo han cambiado en aquellos teléfonos que han exportado", prosigue Tomás. El problema ha salido a la luz cuando Kryptowire, una empresa dedicada a la seguridad informática, ha descubierto que un teléfono afectado no se estaba comportando como debería.

Kryptowire descubrió que la actividad de la antena wifi de uno de los terminales afectados, un BLU R1 HD, estaba trabajando de manera inusual. Después de días de estudio, los ingenieros descubrieron que el teléfono utilizaba la red para enviar información contenida en el teléfono cada 72 horas hasta un servidor en Shanghái a nombre de Adups. En esa información se encontraban datos como la localización del teléfono, los SMS o las llamadas.

Tomás recuerda que el caso es especialmente grave debido a que el Gobierno chino tiene una relación estrecha con los fabricantes para recolectar esa información. Pero la práctica no es exclusiva de la potencia oriental. "Hace poco, se supo que Cisco tenía una puerta trasera en sus 'firewalls' que el Gobierno de Estados Unidos ha utilizado", recuerda.

Hace poco, se supo que Cisco tenía una puerta trasera en sus 'firewalls' que el Gobierno de Estados Unidos ha utilizado

Cuando recuerda este episodio, Tomás explica una broma que ilustra hasta qué punto está expuesta la información de los usuarios: "Hay un dicho que dice que si quieres protegerte de verdad, no puedes poner un solo 'firewall'. Necesitas uno chino para protegerte de Estados Unidos, uno estadounidense para resguardarte de los chinos y uno europeo para salvaguardarte de ambos".

¿Cómo me protejo?

BLU ha lanzado una actualización de seguridad para sus teléfonos, por lo que, según Samuel Ohev-Zion, CEO de la firma, todos sus teléfonos están protegidos, mientras que Huawei o ZTE todavía no han revelado qué modelos están afectados o si van a emitir una actualización para solventar este problema. Huawei ha sido la primera en ofrecer una respuesta para desmentir su colaboración con Adups: "Huawei tiene como prioridad la privacidad y seguridad de nuestros clientes, y trabajamos con diligencia para proteger dicha privacidad y seguridad. La empresa mencionada en esta información no figura en nuestra lista de proveedores aprobados, y en ningún momento se ha realizado ningún tipo de negocio con ellos".

La filial estadounidense de ZTE se ha puesto en contacto con Teknautas para desmentir cualquier colaboración con Adups, por lo menos en el país: "Ningún dispositivo vendido en Estados tenía el 'software' instalado ni lo va a tener. La seguridad y la privacidad son una prioridad para nuestros clientes y nos vamos a asegurar de que ambas sigan protegidas".

Adups se excusa en que introdujo esta puerta trasera por una petición del Gobierno chino. Como recuerda Amador Pérez, CEO de SoftLan, empresa dedicada a la seguridad informática, "el FBI pidió a Apple que pusiera una en los iPhones y se negaron. Ahí entra la ética de cada fabricante".

Tomás tiene una mala noticia para los usuarios de teléfonos potencialmente expuestos: no se puede hacer nada hasta que los fabricantes lancen una actualización que arregle esos problemas. "No hay forma de forzar esas actualizaciones y quedas a merced del tiempo que dedique el fabricante en hacer una actualización de seguridad", afirma.

Existen herramientas para saber si tu teléfono se comporta de manera inusual. Como ilustra Amador Pérez, existen 'apps' que permiten comprobar "si se está usando una red wifi cuando el teléfono no está funcionando". Pero este experto en seguridad recuerda que muchas de esas herramientas están enfocadas a un perfil profesional: "El usuario de la calle está vendido".

"No se pueden forzar las actualizaciones. Quedas a merced de que el fabricante decida hacer una actualización de seguridad"

Aunque la vulnerabilidad de Adups es indetectable para un usuario de a pie, Pérez recuerda que se puede tratar de limitar esta exposición a través de los permisos de los teléfonos. "Puedes comprobar los permisos que les das y limitarlos. Una linterna no tiene por qué acceder a tu tarjeta de red", explica. A la espera de que las firmas afectadas hagan pública la lista de teléfonos, Pérez recalca la gravedad del asunto: "Por menos han caído multinacionales. Es un escándalo muy grande".