Vamos a aclarar esto de una vez por todas: Demasiados fabricantes de teléfonos inteligentes Android simplemente no están implementando las correcciones de errores de seguridad de Google para el sistema operativo móvil.
La empresa alemana Security Research Labs (SRL) dijo hoy que incluso los principales proveedores, como HTC, Huawei y Motorola, dejan a los usuarios vulnerables al no reparar los dispositivos conocidos de vulnerabilidades de Android de manera oportuna, si es que lo hacen.
Es de esperar que los fabricantes prueben rápidamente y envíen actualizaciones de software y firmware para cerrar errores que puedan ser explotados por aplicaciones maliciosas, mensajes atrapados y páginas web dudosas, para secuestrar, controlar y espiar dispositivos. Pero, no. No siempre es el caso.
Resulta que las actualizaciones emitidas para algunos dispositivos están incompletas, lo que deja a los apostadores desafortunados abiertos para atacar. Ahora, no estamos abogando por errores y el código apresurado se ve obligado a los gadgets, pero sería bueno si el parche fuera un poco más de una prioridad. Y si los fabricantes confesaron a sus clientes que estaban atrasados en el parcheo, en lugar de afirmar que todo está bien y actualizado.
“Instalar parches cada mes es un primer paso importante, pero sigue siendo insuficiente a menos que todos los parches relevantes estén incluidos en esas actualizaciones”, señalaron el equipo de SRL, Karsten Nohl y Jakob Lell, como parte de su presentación en la conferencia de seguridad Hack In The Box. en Amsterdam, Países Bajos.
“Nuestro gran estudio de teléfonos Android encuentra que la mayoría de los proveedores de Android olvidan incluir algunos parches, dejando partes del ecosistema expuestas a los riesgos subyacentes”.
Y, sí, ese es el mismo Nohl conocido por señalar grandes agujeros en las redes celulares del mundo.
Más allá de sus propios dispositivos, Google deja que los proveedores individuales de teléfonos prueben, firmen criptográficamente y distribuyan actualizaciones para su hardware, lo que incluye soluciones para las vulnerabilidades de seguridad en los controladores, así como en el software del sistema principal. Esa dependencia de los vendedores termina estancando, o bloqueando completamente, el despliegue de soluciones para las personas.
Sin embargo, el gigante de la web desarrolló un buen truco, en el que su código de servicios de Google Play puede pasar por alto a los fabricantes e instalar algunos parches de seguridad por sí mismo a través de Internet sin ninguna intervención del proveedor. Esto debería, en teoría, obtener cosas actualizadas rápidamente. Sin embargo, los servicios no pueden profundizar en el dispositivo y reemplazar componentes defectuosos del software de bajo nivel, como controladores y bibliotecas del sistema. Por lo tanto, algunos dispositivos obtienen actualizaciones medio completas cada mes. Algunos de Google, ninguno del fabricante.
The Register puede dar fe de esto de primera mano. Una de nuestras oficinas tiene un teléfono Android 7 Samsung Galaxy S8 que, a pesar de estar “actualizado”, no puede obtener ningún parche de seguridad desde agosto del año pasado.
SRL sugiere a los usuarios conocedores de la seguridad echar un vistazo a lo que se incluye en las correcciones mensuales de Google, y al menos estar al tanto de los problemas que necesitan parches.
No entres en pánico (demasiado)
Los investigadores también señalan que la presencia de una vulnerabilidad en sí misma no significa que un dispositivo caerá en malware o hackers. Por el contrario, los atacantes probablemente tendrán que usar múltiples tácticas, como convencer al usuario de ejecutar una aplicación maliciosa en una tienda no oficial, o explotar varias vulnerabilidades para escapar del arenero de Android, vencer varios mecanismos de defensa como ASLR y finalmente tomar el control .
“Debido a esta complejidad, algunos parches faltantes generalmente no son suficientes para que un hacker pueda poner en peligro de forma remota un dispositivo Android”, señaló el dúo de SRL.
“En cambio, múltiples errores deben estar encadenados para un hack exitoso”.