Este error acaba de ser desvelado por Bogdan Alecu, administrador de sistemas de la firma holandesa de servicios TI, Levi9, y afecta a todas las versiones de firmware de Android 4.x, es decir, a sus modelos Galaxy Nexus, Nexus 4 y Nexus 5. Alecu desveló la vulnerabilidad el pasado viernes en la conferencia de seguridad DefCamp de Bucarest.

El SMS clase 0 o SMS flash, son un tipo de mensaje definido en la especificación GSM, que permite mostrar directamente en la pantalla del teléfono los mensajes, sin que se almacenen en el dispositivo. Después de leer un mensaje de este tipo, los usuarios tienen la opción de guardarlo o eliminarlo.

En los teléfonos Nexus, cuando se recibe un mensaje de este tipo, se visualiza en la parte superior de las ventanas activas y está rodeado por una cubierta negra, semi-transparente que lo atenúa, con respecto al resto de la pantalla. Si ese primer mensaje no se guarda o elimina y se recibe un segundo SMS, el último se coloca en la parte superior del primero y el efecto de atenuación aumenta.

Cuando se reciben estos mensajes, no se recibe notificación de audio, incluso aunque el móvil esté configurado para avisar de los mensajes entrantes. Esto significa que los usuarios que reciben mensajes flash no saben de su existencia hasta que miran el teléfono.

Alecu ha descubierto que cuando se recibe un gran número de mensajes, en torno a 30, y no se rechazan, los actuales móviles Nexus actúan de manera inusual. El comportamiento más común es que el teléfono se reinicie, asegura el experto. En ese caso, si se requiere un PIN para desbloquear la tarjeta SIM, el teléfono se conecta a la red después del reinicio y el usuario puede no notar el problema durante horas, hasta que comprueba su teléfono. Durante este tiempo, el teléfono no será capaz de recibir llamadas, mensajes ni otro tipo de notificaciones, que requieran conexión móvil.

Según el experto, también se produce un comportamiento diferente en raras ocasiones, y es que el teléfono no se reinicia, pero pierde temporalmente la conexión a la red móvil. La conexión se restaura automáticamente y el teléfono puede recibir y hacer llamadas, pero ya no puede acceder a Internet a través de la red móvil. El único método para restaurar la conexión de datos, en ese caso, es reiniciar el teléfono, explica. En otras ocasiones, sólo se bloquea la aplicación de mensajería, pero el sistema se reinicia automáticamente, así que no hay un impacto a largo plazo.

Alecu asegura que descubrió el problema hace más de un año y que lo ha comprobado después en los modelos Galaxy Nexus, Nexus 4 y Nexus 5, con varias versiones Android 4.x , incluida la más reciente, Android 4.4, o KitKat. Alrededor de 20 dispositivos diferentes de otros fabricantes no son vulnerables, aunque esto no excluye la posibilidad de que exista alguno. De momento, sólo se ha encontrado esta vulnerabilidad en modelos Nexus de Google.