211service.com
Exploit del navegador para Android destaca el problema de actualización de Google
Un investigador de seguridad ha descubierto una forma de controlar aproximadamente el 70 por ciento de los dispositivos Android a través de una página web o una aplicación. No se sabe si alguien realmente está usando el exploit para atacar los teléfonos de las personas, pero los hallazgos del investigador son, no obstante, un recordatorio de que Google enfrenta un dolor de cabeza cada vez mayor porque carece de una forma de distribuir de manera efectiva las actualizaciones de seguridad a los cientos de millones de dispositivos que ejecutan su software en todo el mundo. Muchos de esos dispositivos tienen versiones obsoletas de Android.
El nuevo exploit fue desarrollado por Joe Vennix, un ingeniero de software de una empresa de seguridad. Rapid7 , quien la semana pasada agregó el exploit a la empresa Metasploit software utilizado para probar dispositivos y sistemas en busca de vulnerabilidades conocidas. Su código hace uso de un error, revelado por primera vez en Diciembre 2012 , en el navegador web integrado en Android. El exploit podría usarse para apoderarse de un teléfono después de dirigir a alguien a una página web con el código malicioso incrustado, o al entregar el código a través de una aplicación, muchas de las cuales muestran contenido como anuncios utilizando las capacidades del navegador de Android. Vennix descubrió que una aplicación de Baidu , por ejemplo, era vulnerable al exploit cuando se instalaba en un dispositivo con la versión de Android lanzada en diciembre de 2013. Otro investigador descubrió que el exploit funciona en Google Glass .
Vennix estima que el 70 por ciento de los dispositivos Android son vulnerables al exploit, según Cifras de Google para la proporción de dispositivos que ejecutan diferentes versiones de Android. Y lo que es más importante, aunque Google lanzó una nueva versión de Android con una solución para el error subyacente en noviembre de 2012, la mayoría de los dispositivos que ejecutan el software probablemente seguirán siendo vulnerables al ataque mientras permanezcan en uso porque no se actualizarán.
Google ha convencido a muchos fabricantes para que instalen Android en sus productos, pero pocos se apresuran a implementar nuevas versiones del software. Google tampoco tiene ningún mecanismo para enviar actualizaciones directamente a los dispositivos, como los integrados en los sistemas operativos de escritorio, incluidos Microsoft Windows o Mac OS.
Eso limita la capacidad de Google para implementar nuevas funciones y parches de seguridad en los dispositivos que ejecutan su software. Hasta ahora, la empresa ha tenido poco éxito al abordar el problema. En mayo de 2011, por ejemplo, Google anunció la Android Upgrade Alliance, en virtud de la cual los proveedores de servicios inalámbricos lanzarían actualizaciones de Android rápidamente durante los primeros 18 meses de vida de un dispositivo. Pero el proyecto fracasó y ya no está activo. Google no respondió a una solicitud de comentarios.
Más recientemente, Google ha tratado de eludir a los operadores cambiando algunas funciones de Android a aplicaciones separadas, que los usuarios pueden actualizar a través de la tienda de aplicaciones Play de la empresa. YouTube, Gmail y la Búsqueda de Google, por ejemplo, solían estar integrados en el software de Android, pero ahora son aplicaciones independientes; Google puede enviar actualizaciones de funciones y correcciones de seguridad a estas aplicaciones sin tener que trabajar con ninguna otra empresa. En las versiones más recientes de Android, el código del navegador integrado está oculto para los usuarios que, en su lugar, usan una versión de aplicación móvil del navegador de escritorio Chrome de Google.
Sin embargo, ese enfoque no cubre el núcleo del software de Android y no puede corregir el error descubierto por Rapid7. Dirk Sigurdson, director de ingeniería del producto de Rapid7 para proteger dispositivos móviles, Mobilesafe, dice que los dispositivos comprados a empresas distintas de Google no pueden considerarse seguros. La mejor apuesta por ahora es comprar dispositivos de edición Google Nexus o Google Play, que se actualizan mucho más rápidamente con las últimas versiones de Android, dice.
Se han activado más de mil millones de dispositivos Android desde que se lanzó el software en octubre de 2008, según Google . Los dispositivos Android apenas están plagados de malware en la medida en que lo están las PC, y el uso de tiendas de aplicaciones ayuda a limitar la propagación de códigos maliciosos. Aun así, la incidencia de malware está creciendo y se espera que empeore significativamente (consulte Los ataques a Android se intensifican y Nuevos modelos comerciales de malware para llevar los problemas de seguridad de la PC a los dispositivos móviles).
Después de que el sistema operativo Windows de Microsoft fuera víctima de una amplia gama de malware, la empresa estableció un sistema mediante el cual las actualizaciones de seguridad se desarrollaban y distribuían continuamente a las PC. Apple usa un modelo similar para mantener actualizados sus dispositivos móviles. En septiembre, por ejemplo, solo una semana después de que se descubriera un error que permitía a alguien omitir la pantalla de bloqueo de un iPhone , la empresa lanzó una solución .
Ese enfoque también podría ayudar a Android, dice el consultor de seguridad Graham Cluley, pero es poco probable que sea atractivo para Google debido a que regala Android de forma gratuita y permite que los fabricantes de dispositivos y los operadores de telefonía móvil modifiquen el software. El problema fundamental, sospecho, es que no controlan el hardware y el software, dice. Aunque todos estos dispositivos ejecutan Android, ejecutan diferentes versiones modificadas con diferentes interfaces de usuario y complementos.
Una razón por la que las empresas no transmiten las actualizaciones de Google a Android en la actualidad es que se necesita trabajo para garantizar que esos ajustes sigan funcionando correctamente en una nueva versión. Las actualizaciones automáticas podrían romper las modificaciones de Android de la propia empresa, dice Cluley.