Una falla grave de seguridad fue descubierta recientemente en el dispositivo más representativo de Samsung, Galaxy S4, la cual puede ser aprovechada por software malicioso para falsificar mensajes SMS que pueden ser recibidos o enviados desde dispositivos vulnerados. Esta vulnerabilidad fue descubierta inicialmente el 17 de junio del presente año por Qihoo 360, compañía establecida en China, dedicada a la seguridad en Internet. La vulnerabilidad fue reportada inmediatamente a Samsung, quien ya está desarrollando una actualización para corregir el fallo.

Esta vulnerabilidad está relacionada con los respaldos en la nube (cloud backup) del Galaxy S4, la cual no cuenta con características de seguridad adecuadas. Por lo anterior, el software malicioso podría utilizarla para enviar mensajes de texto que de manera fraudulenta, solicitar servicios de paga (que serán cargados a la cuenta del usuario sin su consentimiento) o simular la recepción de mensajes SMS que en realidad son ataques de phishing.

La existencia de esta vulnerabilidad tiene serias implicaciones ya que mediante el malware es posible suplantar la identidad de cualquier contacto u organización (incluyendo bancos) al falsificar mensajes SMS (phishing). Cuando estos mensajes de phishing son recibidos, los usuarios pueden ser engañados para dar clic en enlaces fraudulentos o revelar información personal.

Qihoo recomienda a los usuarios del S4 deshabiliten temporalmente el cloud backup cuando no se esté utilizando. Una corrección temporal fue creada por Qihoo 360 y puede ser desactivada una vez que se instale el parche oficial para esta falla de seguridad.