Blackphone, un teléfono no tan seguro

Fue anunciado a bombo y platillo en el pasado MWC como “el teléfono que respeta la privacidad”. El Blackphone se presentaba como el smartphone perfecto para aquellos que temían que sus comunicaciones fueran interceptadas por espías o ciberdelincuentes. Encriptación, versión modificada de Android, suite de seguridad… todo lo necesario para hacer un móvil invulnerable. Al menos en apariencia, porque el Blackphone ha sido hackeado durante la conferencia de hackers Def Con, que se celebra estos días en Las Vegas.

Fue el hacker Justin Case, más  conocido como @TeamAndIRC, quien reveló haber encontrado tres vulnerabilidades y haber hackeado el teléfono en tres ocasiones diferentes, obteniendo acceso al root. Case anunció su hazaña en Twitter, enseñando cómo había sido capaz de acceder a la herramienta de líneas de comando Android Debug Bridge (adb) sin desbloquear el bootloader.

El hackeo del Blackphone ha causado sensación, al ser el primer ataque que se lleva a cabo con éxito en una versión sin parches de Android. Los responsables de Blackphone, desarrollado por la española Geeksphone y la americana Silent Circle, han reaccionado con una actualización para corregir este fallo, aunque su CSO,  Dan Ford, respondió al hacker asegurando que no consideraba el ataque como una vulnerabilidad, puesto que Android Debug Bridge es parte de Android, no de la versión modificada PrivatOS que incorpora el smartphone.

Según The Inquirer, el hacker aludió también a otras dos vulnerabilidades: a través de una “aplicación remota” ejecutada como parte del sistema y una tercera descrita como “usuario del sistema”.

Blackphone ha insistido en que los hacks de @TeamAndIRC requieren el consentimiento del usuario, por lo que las vulnerabilidades que encontró no son explotables a través de un drive-by-download u otras actividades remotas, sino que precisan de la intervención intencionada del usuario.