El SoC UNISOC SC9863A tiene un problema de seguridad

Aunque no goza de la «fama» de otros integrados, el SoC UNISOC SC9863A es una opción bastante popular, presente en dispositivos de la gama de entrada de varias marcas, buena parte de los cuales se encuentran hoy en día en el mercado, pese a que el integrado tiene ya un tiempo, es decir, que no es de los más recientes de UNISOC. Entre las marcas que más emplean los integrados de este fabricante encontramos Nokia y Realme, por citar solo un par de ejemplos. Y es que es un integrado bastante más común de lo que podemos pensar.

El problema es que la firma de seguriad Kryptowire, tras haber realizado una investigación al respecto, ha publicado un comunicado en el informa de haber detectado una vulnerabilidad en el UNISOC SC9863A y, aunque no explica la naturaleza de la misma (algo normal, dentro de las políticas de divulgación responsable que, afortunadamente, imperan en el sector), sí que da algunos datos sobre el alcance que puede tener su explotación. Y la verdad es que son bastante preocupantes.

«Específicamente, la vulnerabilidad permite a los intrusos acceder a los registros de llamadas y del sistema, mensajes de texto, contactos y otros datos privados, grabar en video la pantalla del dispositivo o usar la cámara externa para grabar video, o incluso tomar el control del dispositivo de forma remota, alterando o limpiando sus datos.»

Aunque la publicación sobre la vulnerabilidad se ha producido ahora, Kryptowire ya informó a los fabricantes de dispositivos afectados, así como al propio fabricante del chip cuando detectó la vulnerabilidad del UNISOC SC9863A, en diciembre del año pasado. Un plazo que, entendemos, habrá sido aprovechado por todas las partes afectadas para tomar, en cada caso, las medidas a su alcance para mitigar el posible impacto de la vulnerabilidad en los usuarios de smartphones afectados.

Por la parte del fabricante, cabe esperar que el UNISOC SC9863A fuera descatalogado de inmediato y que, adicionalmente, los equipos de ingeniería de la compañía se hayan volcado para analizar el resto de sus integrados, con el fin de determinar si también pueden ser atacados del mismo modo que el UNISOC SC9863A. Sin embargo, hace solo unas semanas supimos de nuevos terminales de Nokia que, como puedes ver en su ficha técnica, integran este SoC, una decisión que podemos entender que se debe a que ya se encontraran en la línea de producción cuando supieron de la vulnerabilidad.

¿Y qué deben hacer los fabricantes que han integrado el UNISOC SC9863A en sus dispositivos? Evidentemente, publicar lo antes posible las actualizaciones necesarias para mitigar los efectos de esta vulnerabilidad. Y en este punto lo más importante es la rapidez, por encima de todo lo demás. Como ya vimos la semana pasada, con el primer parche para Spectre BHI, este incide de manera importante en el rendimiento. Y es un fastidio para los usuarios, claro, pero es la manera más correcta de proceder: primero asegurar, y después optimizar.

“En un mercado de dispositivos móviles cada vez más competitivo, es imperativo que los fabricantes de dispositivos establezcan y mantengan la confianza entre los operadores y los usuarios finales” afirma Alex Lisle, director técnico de Kryptowire . “La tecnología central de Kryptowire, que proporciona un escaneo rápido y automático de vulnerabilidades sin intrusión en los datos del usuario final, ayuda a las partes interesadas a encontrar y remediar brechas críticas de seguridad y privacidad de manera más rápida y eficiente, aumentando la confianza frente a desafíos de seguridad complejos.”

Así, si eres usuario de un smartphone que emplea un UNISOC SC9863A, ponte en contacto con el fabricante del mismo para averiguar qué medidas van a tomar al respecto.