AGUJERO de SEGURIDAD crítico en Android (fotos PNG) pone en riesgo millones de teléfonos

Que lo parche… quien pueda.

Google acaba de dar a conocer que existe un nuevo agujero de seguridad en Android, y que afecta a teléfonos con Android Nougat (7.0), Oreo (8.0) e incluso a Android Pie (9.0), la más reciente versión del sistema operativo. En total, Google ha descubierto 11 vulnerabilidades críticas en su último boletín. Y por crítico, se refieren a que un usuario malicioso podría ganar acceso de nuestro teléfono, como una puerta abierta sin descubrir (o parchar)

Una imagen PNG puede ejecutar código arbitrario malicioso

El más grave de todos los agujeros de seguridad mencionado en el boletín, es que una simple imagen PNG; del tipo que abrimos sin pensar dos veces cuando la recibimos por Whatsapp, navegamos por la Web (pues se cargan automáticamente), o vemos en Facebook, puede ejecutar código malicioso como un “proceso privilegiado” – es decir, saltándose la seguridad de Android – e instalar aplicaciones remotas sin nuestra autorización y de manera silenciosa.

Google no tiene registro de que se haya usado esta vulnerabilidad, pero ahora que es conocida gracias al boletín de seguridad, sin duda veremos a varios equipos tratar de aprovecharla. Lo peor de todo, como comentábamos en el párrafo anterior, es que se trata de una vulnerabilidad que puede ser activada pasivamente; es decir, no requiere que nosotros activamente vayamos a abrir la imagen; esta suele cargarse de manera automática en los navegadores. Basta con visitar una página web con una imagen que haya sido modificada con este código malicioso para que nuestro teléfono quede vulnerado.

Y sí, este agujero de seguridad afecta a Android 9, 8 y 7 (Nougat, Oreo y Pie, y sus sub-versiones); versiones anteriores de Android están a salvo.

Cómo corregir el bug?

Aquí, como siempre, es donde la mayor debilidad de Android, en general, nuevamente queda expuesta. A pesar de que el sistema operativo ya cumplió una década de su concepción, Google no ha podido encontrar una manera práctica para parchar a todos los teléfonos vendidos con Android. Es decir, cuando una vulnerabilidad “crítica” – como la describe Google – es descubierta, esta es enviada como un parche de seguridad (ya está disponible en el parche de Febrero 2019). Sin embargo, Google no se hace responsable de que el resto de equipos sea parchado; depende de cada fabricante. Es decir, si mi teléfono Samsung, Huawei, LG o Sony no lanza actualizaciones frecuentemente, nuestro teléfono se mantendrá con este crítico agujero de seguridad, siempre corriendo el peligro de ser hackeado por esta vulnerabilidad.

Grave, verdad?

Por eso sólo compren teléfonos que suelen recibir actualizaciones frecuentes; dejé de recomendar teléfonos LG por ello; jamás reciben parches, ni los de seguridad. Otras empresas como Samsung, Huawei o Motorola suelen publicar parches de seguridad con ciertos meses de atraso, pero lo hacen seguido. Empresas como Nokia están haciendo un mejor trabajo en este sentido. Mi Mate 20 Pro, por ejemplo, sigue en el parche de Diciembre del 2018 de Google; mejor que el promedio, pero aún atrasado por dos meses en actualizaciones de seguridad.

Sin embargo, la única manera de asegurarnos de recibir el parche lo antes posible, lamentablemente, sigue siendo la de comprar teléfonos Pixel de Google que se venden en poquísimos mercados. Google comenta que ha notificado a partners y socios del bug hace un mes, pero nuevamente, se lava las manos en cuanto a la implementación de este parche. Google, debes hacer un mejor trabajo.

via

Más Noticias
Tip: Conecta tu Smart TV vía Ethernet, no por Wifi