Se ha descubierto la existencia de una vulnerabilidad de seguridad en el
teléfono SPV distribuido por la operadora británica Orange. Se trata del
primer teléfono móvil basado en Microsoft Smartphone.
Microsoft Smartphone es una versión de Windows CE (la versión de Windows
para dispositivos móviles) especialmente diseñada para teléfonos
móviles. Se trata de un sistema operativo que integra las funciones de
asistente personal con las comunicaciones telefónicas. Incluye, además,
versiones de Microsoft Messenger, Internet Explorer, Pocket Outlook y
Media Player.
El primer modelo de teléfono basado en Smartphone es el SPV, distribuido
por la operadora británica Orange. Se trata de un teléfono GSM tribanda
(900/1800/1900 MHz), con soporte de GPRS. Actualmente únicamente se
comercializa en el Reino Unido y Francia.
El sistema operativo incluido en el teléfono dispone de la opción de
instalar software adicional, que debe ser descargado a través del
operador de telefonía. En teoría, únicamente es posible la instalación
de software que haya sido certificado por el operador, no estando
permitida la instalación de software por parte del usuario.
La vulnerabilidad descubierta permite saltarse esta «protección» y
consiste en editar manualmente dos archivos del Smartphone. Esto puede
hacerse directamente desde el PC, transfiriendo los archivos con el
software estándar de sincronización. Una vez realizada esta
modificación, es posible la instalación de cualquier software en el
teléfono.
Decidir quien puede instalar software
Existe una tendencia, cada vez más generalizada, por parte de los
fabricantes de dispositivos a querer ejercer un control sobre el
software que se instala en los mismos. En el caso que nos ocupa en este
boletín, las aplicaciones que funcionan dentro de la plataforma
Smartphone 2002 de Microsoft deben estar firmados. La decisión final
sobre que programas disponen de firma y cuáles no, corresponde en
exclusiva al operador de telefonía móvil.
En el caso de los PC, existe una posibilidad de que algo parecido a esto
puedo llegar a suceder también. Como ya hemos indicado en diversos
boletines de «una-al-día» de Hispasec, la industria informática está
trabajando en la implantación de TCPA (Trusted Computing Platform
Alliance).
Si TCPA (o Palladium, que es como la conoce Microsoft) se convierte en
realidad algún día, alguien que no sea el usuario será quien decidirá
qué software podrá ejecutarse en los ordenadores. Si el software no está
digitalmente firmado, será imposible su ejecución.
Personalmente espero que esta situación sólo sea una pesadilla temporal,
un simple efecto post-11 de septiembre y que nunca un «gran hermano» sea
quien tenga la potestad de decidir que programas puedo ejecutar en mi
ordenador (o en mi teléfono, que no deja de ser un ordenador de tamaño
reducido). De lo contrario, el escenario de control que dibujó George
Orwell en su novela ‘1984’ se convertiría en la más absoluta de las
realidades.
xavi@hispasec.com
Deja una respuesta