OJO: Vulnerabilidad afecta al 95% de Smartphones con Android, con sólo un Mensaje de Texto (SMS)

There was an error while applying the text filter “Markdown.pl” to your content.

Failed to execute text filter because of error: Couldn’t posix_spawn: error 35.

Android, una plataforma insegura

1304510924461062182

Hora de realmente lamentar el terrible estado de las actualizaciones en Android. Al parecer, una vulnerabilidad crítica, descubierta por investigadores de seguridad, pone en riesgo a aproximadamente el 95 por ciento de todos los teléfonos con Android, pues afecta a equipos con el sistema operativo Android 2.2, hasta Android 5.1 (la más reciente versión).

 

El Hack

Según Zimperium, firma de ciber-seguridad que descubrió el exploit, lo peligroso del ataque es que ocurre sin que haya interacción alguna por parte del usuario. Es decir, no tenemos que clickear nada, o entrar a una URL para que el ataque se lleve a cabo. Lo único que se necesita para vulnerar la seguridad de nuestro teléfono, es recibir un MMS – un mensaje multimedia – lo que le dará al atacante acceso a nuestro dispositivo. Lo peor de todo? Que, una vez insertado este troyano, puede que el usuario jamás se de cuenta de que está siendo espiado.

De acuerdo a Joshua Drake, investigador de seguridad de Zimperium, y co-autor de “Androd Hacker’s Handbook”, el ataque funcionaría de la siguiente manera: El atacante crea un video corto y esconde el malware dentro de éste, enviándolo como MMS a nuestro teléfono. Apenas es recibido por el smartphone con Android, se inicia la vulnerabilidad, pues el teléfono lo procesa inmediatamente para añadirlo a la galería de contenidos multimedia de Android. Aclarando entonces: no es necesario que el usuario le de “play” al video para que nuestro smartphone quede vulnerable.

Una vez que el atacante gana acceso, podrá hacer de todo, incluyendo controlar el micrófono y cámara del smartphone, borrar o copiar datos, etcétera. En esencia, tendrá control total sobre nuestro teléfono.

 

 

Alguna solución?


El aspecto positivo es que esta vulnerabilidad no ha sido descubierta por hackers, sino por una firma de seguridad, que ha notificado a Google al respecto. Y se cree que este hack no está siendo utilizado masivamente. Aún. Ahora que es conocido, su uso sin duda aumentará considerablemente.

De hecho, Google ya ha parchado dichas vulnerabilidades (que fueron compartidas por Drake con Google en Abril y Mayo del 2015). El problema está en la poca influencia que Google tiene con Android.

Es decir, que los parches hayan sido descubiertos y aplicados a Android, no significa que éstos vayan a ser repartidos a todos los dispositivos que están utilizando Android en estos momentos.

El problema? El poco control que Google tiene sobre las actualizaciones de Android. El sistema operativo está diseñado para que cualquier fabricante sea libre de crear un teléfono en torno a este y modificarlo a gusto. Por eso un Samsung con Android se verá – y en ocasiones, se comportará diferente – que un smartphone de Sony con Android, o uno de LG, o uno de HTC.

Por lo tanto, para que un parche como este tenga alguna repercusión, tiene que, primero, ser implementado por Google. Luego, el fabricante debe coger estas modificaciones, estudiarlas, implementarlas a su versión de Android (junto con sus modificaciones) para la docena de modelos que seguramente están corriendo diferentes versiones de Android. Y finalmente, cada fabricante debe ir con cada operadora de telecomunicaciones para implementar las aplicaciones regionales y asegurarse de que funcione en la banda local (homologarlo). Si se preguntaban por qué tantos teléfonos se quedaban en el limbo de actualizaciones, es porque usualmente hay varios diferentes fabricantes “en cola” intentando homologar sus teléfonos en las distintas operadoras. Este proceso puede tardar meses en llevarse a cabo, si es que se lleva a cabo alguna vez (muchos teléfonos han sido abandonados por los mismos fabricantes, a veces a menos de un año de haber sido lanzados). Esa es la pesadilla de actualizaciones que existe en Android1.

Una situación totalmente opuesta a la que se aprecia en Windows Phone, donde una sola versión del sistema operativo es repartido a operadoras para ser homologado a diferentes equipos (salteándose un paso del proceso descrito anteriormente), y más aún con iOS y iPhones, donde todos los teléfonos reciben la más reciente actualización, a nivel mundial, el día en el que esta nueva versión es lanzada.

Por lo tanto, a pesar de que Google ha parchado la vulnerabilidad, ésta aún permanecerá activa hasta que los fabricantes de nuestros smartphones lancen un parche para corregirla. Las cifras de Drake no son muy optimistas, citando que quizás 20 por ciento de teléfonos sea arreglados, lanzando, como cifra optimista, un 50 por ciento en el mejor de los casos.

Google, por otro lado, ha marcado esta falla como alta prioridad, mencionando lo siguiente a VentureBeat:

 

“La seguridad de los usuarios de Android es muy importante para nosotros y por eso respondimos rápidamente y los parches ya se han proporcionado a los socios para que puedan aplicarlos a cualquier dispositivo. La mayoría de los dispositivos Android, incluyendo todos los dispositivos más nuevos, tienen múltiples tecnologías que están diseñados para hacer la explotación más difícil. Dispositivos Android también incluyen una caja de arena aplicación diseñada para proteger los datos del usuario y otras aplicaciones en el dispositivo “.

 

No es suficiente.

Eso, en mi opinión, no es suficiente. No es posible que, después de tantos años, Google no haya llegado a una solución para este tipo de problemas, haciendo de Android una plataforma sumamente insegura, ya que Google no tiene el control necesario para parchar este tipo de errores de seguridad en su propia plataforma, dependiendo enteramente de los fabricantes de teléfonos (y de los operadores) para poner a salvo a sus usuarios. 

No es posible que, a pesar de que Google lance, de manera entusiasta, nuevas versiones de Android todos los años, tengamos que esperar meses, o incluso un año entero, para ver estas actualizaciones en nuestros equipos. Y esto, si es que siquiera está en los planes del fabricante. Equipos con menos de un año, como el Huawei Ascend P7, han sido abandonados por completo por sus fabricantes, negándoles futuras actualizaciones a versiones superiores.

Para estudiar un caso similar, donde un sistema operativo es utilizado por múltiples fabricantes, basta con ver a Microsoft y Windows (en PCs y Laptops). Y aquí, la historia es otra. Decenas de fabricantes crean laptops y PCs con Windows, pero Microsoft mantiene el control sobre el sistema operativo, evitando que problemas como el que acabamos de ver en Android, se lleven a cabo. Y sí, hemos visto varias modificaciones de Windows (sobre todo en PCs y Laptops de HP y Lenovo), pero la base del OS, siempre es actualizable y se mantiene bajo el control de Microsoft. Y si nos quejábamos de programas no deseados en Windows que vienen pre-instalados por el fabricante, la situación es mucho peor en Android. En Windows, al menos, los podemos desinstalar. Algo imposible en Android (a menos que tengamos root, pero vamos, hay que se realistas; un mínimo porcentaje de personas se tomará el trabajo de rootear su teléfono).

Claro, la arquitectura es diferente, y el tema de drivers en móviles es una pesadilla comparada con lo que sucede en Windows, pero el camino tomado por Google con Android ha sido uno sumamente riesgoso, y estamos empezando a ver las consecuencias. 

Android ha madurado bastante con el paso de los años. En diseño – Material Design – es incluso superior al resto de sistemas operativos móviles, en mi opinión. Pero esta falta de control sobre el sistema operativo, la falta de updates, la incapacidad de Google por corregirlo, hace de ésta, una plataforma insegura.  

 

via npr

 

 

 

 

 

 

 


  1. Remediable si se utiliza un custom ROM como CyanogenMod, pero vamos, el porcentaje de personas que se animarán a realizar el proceso de custom roms es mínimo