Afirman que los nuevos Xiaomi Mi 4 LTE se venden con spyware

Según los recientes hallazgos de investigadores de la empresa de seguridad móvil BlueBox, los riesgos de seguridad que se encuentran en los teléfonos inteligentes chinos, en particular los de Xiaomi, el fabricante más grande de teléfonos inteligentes del país, podrían estar unidos a un problema más profundo.

«Android es muy popular en China», dice un informe de BlueBox, y señala que casi el 90 por ciento de los teléfonos inteligentes en China funcionan con Android.

El problema con la adicción de Android en China, añade, es que «pocos, o alguno, de estos dispositivos ejecutan una versión certificada de Google Android”.

En otras palabras, mientras que 9 de cada 10 teléfonos inteligentes en China están ejecutando Android, posiblemente ninguno de ellos está ejecutando versiones certificadas de Android, y ahí es donde los problemas comienzan a surgir.

Si no estás ejecutando una versión certificada de Android, BlueBox declara, significa que tampoco puedes utilizar los servicios de Google como Google Play Store. A los dispositivos tampoco se les requiere pasar por un grupo de pruebas aprobadas por Google, y los dispositivos se pueden enviar con vulnerabilidades conocidas que Google ya ha corregido.

Investigadores de BlueBox recientemente viajaron a China donde adquirieron uno de los teléfonos inteligentes más populares de Xiaomi, el nuevo Mi 4 LTE, y lo trajeron de vuelta a sus laboratorios digitales para hacerle pruebas.

Había dos cosas que querían saber. Primero querían saber si el teléfono era una falsificación, o un dispositivo real de Xiaomi. En segundo lugar, querían ver qué tipos de malware o vulnerabilidades podían encontrar en el dispositivo.

La primera prueba la pasó, dicen, y «hemos determinado que nuestro Xiaomi Mi4 LTE era, de hecho legítimo”.

La segunda prueba, sin embargo, contó otra historia. El dispositivo fue cargado con vulnerabilidades y software potencialmente dañino.

Xiaomi no respondió de inmediato a las preguntas sobre las denuncias enviadas por correo electrónico.

Los riesgos para los usuarios

Después de escanear el teléfono inteligente con escáneres para el malware y antivirus, según BlueBox, «encontramos seis aplicaciones sospechosas que pueden ser considerados malware, spyware o adware».

Una de las aplicaciones era una pieza de malware llamado «Servicio Yt», que puede, entre otras cosas, ofrecer anuncios no deseados al dispositivo. También se disfrazó para que aparezca como una aplicación segura aprobada por Google, con su paquete llamado «com.google.hfapservice».

Entre las otras aplicaciones infectadas en el teléfono Xiaomi estaba una aplicación llamada «PhoneGuardService» que BlueBox dice está «clasificado como un troyano», otra aplicación clasificada como software de riesgo llamada «AppStats», y otra llamada «SMSreg» que está clasificado como malware.

En cuanto a las vulnerabilidades, añaden, «No sólo estaba el dispositivo desprotegido a cualquier vulnerabilidad que escaneamos (a excepción de Heartbleed que sólo era vulnerable en el  4.1.1), también estaba arraigado y tenía modo de depuración USB activado sin la debida indicación a hablar con un ordenador conectado».

El «modo de depuración USB» es importante, ya que el Xiaomi Mi 4 LTE sostiene que remite con Android 4.4.4, «lo cual debería poner en ejecución el dispositivo del Android a que manualmente autorice a un desconocido computador conectado”.

Un teléfono Android estando «arraigado» es similar a un iPhone siendo «destrabado” (al suprimir algunas de las limitaciones impuestas). Altera el teléfono para que pueda ser modificado con nuevo código o software que los desarrolladores no habían previsto. También abre el teléfono al malware y anula la garantía en dispositivos que ejecutan versiones legítimas de Android.

Esta no es la primera vez que se encuentran teléfonos inteligentes de Xiaomi espiando a los usuarios.

Un usuario encontró en julio de 2014 que Xiaomi Redmi Note, estaba tratando de conectarse a una dirección IP en Beijing, y continuó haciéndolo incluso después de que trató de borrar e instalar una nueva versión de Android. El usuario, Kenny Li, publicó sus hallazgos en el IMA Mobile de Hong Kong.

En agosto de 2014, la compañía de seguridad F-Secure investigó los reclamos, y encontró que los teléfonos Xiaomi contenían software oculto para robar información del usuario y enviarla a un servidor en China.

Integridad en descenso

Investigadores de BlueBox dicen que intentaron decirle a Xiaomi acerca de sus hallazgos antes de publicarlos, pero no recibieron una respuesta. Xiaomi, sin embargo, respondió tras publicarse los resultados.

Xiaomi afirmó que era «cierto» que el dispositivo utilizado en la prueba había sido manipulado. Afirmaron que no «pre-instalan servicios tales como  YT, PhoneGuardService, AppStats, etc.»

Agregaron que Xiaomi «no vende teléfonos a través de minoristas de terceros en China» y dijeron que sólo compran los teléfonos a través de sus tiendas oficiales.

BlueBox respondió con dos preguntas: la primera es cómo los usuarios pueden confiar en los dispositivos si Xiaomi «no puede garantizar la integridad desde la fabricación hasta la compra».

«Si una fabricación envía un dispositivo que puede ser modificado por el minorista, o alguien más en la cadena de distribución, ¿cómo pueden las organizaciones confiar en la seguridad del dispositivo y la reputación de la marca?», preguntaron.

BlueBox también cuestionó por qué Xiaomi no había respondido cuando alertaron a la compañía acerca de sus fallas de seguridad.

Xiaomi respondió de nuevo, diciendo que estaban «investigando» por qué no habían recibido las advertencias enviadas por BlueBox.