Google se está tomando en serio la seguridad de su sistema operativo. Por ello, cada mes, la compañía publica una actualización OTA para sus dispositivos Nexus que soluciona una serie de fallos de seguridad y problemas con los dispositivos. Con la llegada de febrero de 2016, Google ha liberado una nueva OTA que, a pensar de solucionar varias vulnerabilidades críticas, no llegará a todos los usuarios, estando estos expuestos frente a piratas informáticos durante el resto de la vida útil del smartphone.
Google ha publicado información sobre un total de 13 fallos de seguridad, fallos que han sido solucionados con la actualización OTA liberada el pasado lunes. Entre estos fallos de seguridad, 7 de ellos son críticos (incluso 4 se pueden explotar de forma remota, sin tener acceso al dispositivo), 4 de ellos son de gravedad alta y los dos restantes de gravedad moderada.
Las vulnerabilidades solucionadas han sido nombradas desde CVE-2016-0801 hasta CVE-2016-0813, siendo las primeras las más peligrosas para los usuarios.
Las cuatro primeras vulnerabilidades, relacionadas tanto con el Wi-Fi como con el servidor multimedia (mediaserver) de Android (elemento que ya ha sido vulnerado en otras ocasiones) pueden explotarse, tal como se ha demostrado, simplemente enviando una serie de paquetes al otro dispositivo a través del Wi-Fi o mediante correo electrónico a la víctima quien, de abrirlo, permitirá al pirata informático tomar el control sobre el dispositivo y ejecutar código en él de forma remota, sin necesidad de estar cerca de él.
Google asegura que el pasado 4 de enero notificó a los principales fabricantes del mercado para que lanzaran los parches de seguridad lo antes posible, sin embargo, prácticamente ninguna compañía lo ha hecho.
Google debería cambiar el programa de actualizaciones de Android
El principal problema de Android son las actualizaciones. Mientras que en el caso de iOS las actualizaciones corren de la mano de Apple, en el caso de Android, aunque sea Google quien desarrolla y mantiene el sistema operativo, las actualizaciones son responsabilidad de los fabricantes. Por ello, muchos fabricantes no actualizan sus dispositivos (especialmente cuando estos ya no son nuevos), dejando a los usuarios expuestos a posibles vulnerabilidades que puedan aparecer, como ha sido este caso.
Salvo los smartphones más recientes (y no todos), la mayoría de ellos no recibirá ningún parche para solucionar estos problemas, por lo que quedarán expuestos indefinidamente, asumiendo la gravedad que supone poder explotar fallos de seguridad de forma remota.
Por el momento, la única forma de protegernos frente a estas amenazas es tener un dispositivo Nexus actualizado con los últimos parches OTA que Google liberó el pasado lunes o tener instalada una versión de CyanogenMod, quienes generalmente suelen añadir los últimos parches a sus roms con los que proteger a los usuarios de estas vulnerabilidades, especialmente cuando los fabricantes ya les han abandonado.
Sea como sea, Google debería preocuparse más por la seguridad de su sistema operativo y encargarse, de alguna manera, tanto de obligar a los fabricantes a actualizar como de poder distribuir él mismo estas actualizaciones. Por desgracia, parece que esto no será así.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
