There was an error while applying the text filter “Markdown.pl” to your content.

Failed to execute text filter because of error: Couldn’t posix_spawn: error 35.

Android, una plataforma insegura

1304510924461062182

Hora de realmente lamentar el terrible estado de las actualizaciones en Android. Al parecer, una vulnerabilidad crítica, descubierta por investigadores de seguridad, pone en riesgo a aproximadamente el 95 por ciento de todos los teléfonos con Android, pues afecta a equipos con el sistema operativo Android 2.2, hasta Android 5.1 (la más reciente versión).

 

El Hack

Según Zimperium, firma de ciber-seguridad que descubrió el exploit, lo peligroso del ataque es que ocurre sin que haya interacción alguna por parte del usuario. Es decir, no tenemos que clickear nada, o entrar a una URL para que el ataque se lleve a cabo. Lo único que se necesita para vulnerar la seguridad de nuestro teléfono, es recibir un MMS – un mensaje multimedia – lo que le dará al atacante acceso a nuestro dispositivo. Lo peor de todo? Que, una vez insertado este troyano, puede que el usuario jamás se de cuenta de que está siendo espiado.

De acuerdo a Joshua Drake, investigador de seguridad de Zimperium, y co-autor de “Androd Hacker’s Handbook”, el ataque funcionaría de la siguiente manera: El atacante crea un video corto y esconde el malware dentro de éste, enviándolo como MMS a nuestro teléfono. Apenas es recibido por el smartphone con Android, se inicia la vulnerabilidad, pues el teléfono lo procesa inmediatamente para añadirlo a la galería de contenidos multimedia de Android. Aclarando entonces: no es necesario que el usuario le de “play” al video para que nuestro smartphone quede vulnerable.

Una vez que el atacante gana acceso, podrá hacer de todo, incluyendo controlar el micrófono y cámara del smartphone, borrar o copiar datos, etcétera. En esencia, tendrá control total sobre nuestro teléfono.

 

 

Alguna solución?


El aspecto positivo es que esta vulnerabilidad no ha sido descubierta por hackers, sino por una firma de seguridad, que ha notificado a Google al respecto. Y se cree que este hack no está siendo utilizado masivamente. Aún. Ahora que es conocido, su uso sin duda aumentará considerablemente.

De hecho, Google ya ha parchado dichas vulnerabilidades (que fueron compartidas por Drake con Google en Abril y Mayo del 2015). El problema está en la poca influencia que Google tiene con Android.

Es decir, que los parches hayan sido descubiertos y aplicados a Android, no significa que éstos vayan a ser repartidos a todos los dispositivos que están utilizando Android en estos momentos.

El problema? El poco control que Google tiene sobre las actualizaciones de Android. El sistema operativo está diseñado para que cualquier fabricante sea libre de crear un teléfono en torno a este y modificarlo a gusto. Por eso un Samsung con Android se verá – y en ocasiones, se comportará diferente – que un smartphone de Sony con Android, o uno de LG, o uno de HTC.

Por lo tanto, para que un parche como este tenga alguna repercusión, tiene que, primero, ser implementado por Google. Luego, el fabricante debe coger estas modificaciones, estudiarlas, implementarlas a su versión de Android (junto con sus modificaciones) para la docena de modelos que seguramente están corriendo diferentes versiones de Android. Y finalmente, cada fabricante debe ir con cada operadora de telecomunicaciones para implementar las aplicaciones regionales y asegurarse de que funcione en la banda local (homologarlo). Si se preguntaban por qué tantos teléfonos se quedaban en el limbo de actualizaciones, es porque usualmente hay varios diferentes fabricantes “en cola” intentando homologar sus teléfonos en las distintas operadoras. Este proceso puede tardar meses en llevarse a cabo, si es que se lleva a cabo alguna vez (muchos teléfonos han sido abandonados por los mismos fabricantes, a veces a menos de un año de haber sido lanzados). Esa es la pesadilla de actualizaciones que existe en Android1.

Una situación totalmente opuesta a la que se aprecia en Windows Phone, donde una sola versión del sistema operativo es repartido a operadoras para ser homologado a diferentes equipos (salteándose un paso del proceso descrito anteriormente), y más aún con iOS y iPhones, donde todos los teléfonos reciben la más reciente actualización, a nivel mundial, el día en el que esta nueva versión es lanzada.

Por lo tanto, a pesar de que Google ha parchado la vulnerabilidad, ésta aún permanecerá activa hasta que los fabricantes de nuestros smartphones lancen un parche para corregirla. Las cifras de Drake no son muy optimistas, citando que quizás 20 por ciento de teléfonos sea arreglados, lanzando, como cifra optimista, un 50 por ciento en el mejor de los casos.

Google, por otro lado, ha marcado esta falla como alta prioridad, mencionando lo siguiente a VentureBeat:

 

“La seguridad de los usuarios de Android es muy importante para nosotros y por eso respondimos rápidamente y los parches ya se han proporcionado a los socios para que puedan aplicarlos a cualquier dispositivo. La mayoría de los dispositivos Android, incluyendo todos los dispositivos más nuevos, tienen múltiples tecnologías que están diseñados para hacer la explotación más difícil. Dispositivos Android también incluyen una caja de arena aplicación diseñada para proteger los datos del usuario y otras aplicaciones en el dispositivo “.

 

No es suficiente.

Eso, en mi opinión, no es suficiente. No es posible que, después de tantos años, Google no haya llegado a una solución para este tipo de problemas, haciendo de Android una plataforma sumamente insegura, ya que Google no tiene el control necesario para parchar este tipo de errores de seguridad en su propia plataforma, dependiendo enteramente de los fabricantes de teléfonos (y de los operadores) para poner a salvo a sus usuarios. 

No es posible que, a pesar de que Google lance, de manera entusiasta, nuevas versiones de Android todos los años, tengamos que esperar meses, o incluso un año entero, para ver estas actualizaciones en nuestros equipos. Y esto, si es que siquiera está en los planes del fabricante. Equipos con menos de un año, como el Huawei Ascend P7, han sido abandonados por completo por sus fabricantes, negándoles futuras actualizaciones a versiones superiores.

Para estudiar un caso similar, donde un sistema operativo es utilizado por múltiples fabricantes, basta con ver a Microsoft y Windows (en PCs y Laptops). Y aquí, la historia es otra. Decenas de fabricantes crean laptops y PCs con Windows, pero Microsoft mantiene el control sobre el sistema operativo, evitando que problemas como el que acabamos de ver en Android, se lleven a cabo. Y sí, hemos visto varias modificaciones de Windows (sobre todo en PCs y Laptops de HP y Lenovo), pero la base del OS, siempre es actualizable y se mantiene bajo el control de Microsoft. Y si nos quejábamos de programas no deseados en Windows que vienen pre-instalados por el fabricante, la situación es mucho peor en Android. En Windows, al menos, los podemos desinstalar. Algo imposible en Android (a menos que tengamos root, pero vamos, hay que se realistas; un mínimo porcentaje de personas se tomará el trabajo de rootear su teléfono).

Claro, la arquitectura es diferente, y el tema de drivers en móviles es una pesadilla comparada con lo que sucede en Windows, pero el camino tomado por Google con Android ha sido uno sumamente riesgoso, y estamos empezando a ver las consecuencias. 

Android ha madurado bastante con el paso de los años. En diseño – Material Design – es incluso superior al resto de sistemas operativos móviles, en mi opinión. Pero esta falta de control sobre el sistema operativo, la falta de updates, la incapacidad de Google por corregirlo, hace de ésta, una plataforma insegura.  

 

via npr

 

 

 

 

 

 

 


  1. Remediable si se utiliza un custom ROM como CyanogenMod, pero vamos, el porcentaje de personas que se animarán a realizar el proceso de custom roms es mínimo 
  • manuel

    ¿Y los que tenemos un teléfono viejito de esos que ya olvidaron a su suerte y ya no actualizan?

    • pues, queda rootear e instalar un custom rom parchado

      • rD

        ¿Rootear un dispositivo para parcharlo? opino que eso es un exceso de ignorancia.

        dejar un dispositivo rooteado eleva los riesgos de inseguridad.

  • Daniel Rozas

    Arturo si se desactiva la recuperación automática de mensajes de la app que uses para gestionar SMS/MMS, esto mitigaría esta vulnerabilidad?

  • Ricardo

    Mmmm en pocas palabras Android es vulnerable

  • John

    El artículo es exagerado y, claramente, tendencioso..es exactamente lo que pasa con windows y apple en el caso de las computadoras de escritorio..todos los sistemas son vulnerables, la diferencia radica en la popularidad del sistema en cuestión, con el interés que eso genera, y las dificultades que eso implica a la hora de cubrir los huecos y android es el sistema mas popular en telefonía (al igual que windows en escritorio) por lejos.
    Esta vulnerabilidad se puede subsanar, como pregunta abajo Daniel Rozas, evitando que la aplicación utilizada para MMS (ya sea la nativa o una que hayamos instalado) descargue automáticamente el archivo para agregarlo a la biblioteca y, si bien es cierto que el numero de usuarios que lo hace aún es pequeño en comparación al total, cada vez mas usuarios se vuelven root por la obligación (si..prácticamente te obligan las compañias comercializadoras, ya sea por espacio o velocidad) de desinstalar todas las aplicaciones basuras que les ponen.

    Tener preferencias por uno u otro sistema operativo no hace que el resto sea malo, simplemente lo hace distinto y, en este caso en particular, no estas siendo justo con google/android ni con microsoft o apple.
    Saludos!

    • Lamentabemente, las cosas son peores de lo que inicialmente se creía, como se mencionará en un artículo próximo. El MMS se destaca como punto de ataque por permitirle a cualquier atacante “entrar” sin que el usuario tenga que hacer algo en absoluto.

      Pero al ser una vulnerabilidad en Stagefright, la app nativa de Android que se encarga de reproducir multimedia, esto significa que el ataque podría estar camuflado en cualquier video. En cualquier website con video, en cualquier email con video.

      Y es peor en dispositivos con Android 4.3 o menor, pues en ese entonces no existía el “sandboxing” que ya hay en Android 4.4 en adelante, lo que significa que una vez atacado, el hacker puede “ver” todos los archivos de nuestro smartphone.

      Exagerado? Te recomiendo que leas un poco más sobre ello para conocer la gravedad del asunto, pues Google no puede simplemente parchar los millones de equipos con Android.

      • rD

        en mi experiencia como desarrollador. Opino que IOS es mucho más facil de vulneral. el atacante solo se enfoca en un solo dispositivo con su respectivo Sistema Operativo (IOS).

        caso contrario en Android en que el atacante tiene infinidad de modelos (más drives que analizar). las multitud de versiones desde froyo (con las personalizaciones de cada distribuidor) complican el ataque.

        Android es un rreto para un atacante y permite llegar a mayor cantidad de usuarios.

        Nota:
        Si confias en IOS, pública tu número

        • Parece que el articulo no fue demasiado claro. Aquí no se está haciendo una comparación de cuál sistema es más vulnerable.

          Se está mencionando como google es completamente incapaz de lanzar un parche universal que pueda cubrir tremendo agujero de seguridad, lo que demuestra una falda fundamental en el sistema operativo. Era algo que, ante la pobre estructura de actualizaciones en android, iba a ocurrir tarde o temprano.

          Nuevamente, recomiendo que le des un vistazo a stagefright. Es algo realmente grave.

  • Federico Ez.

    que suerte, ya nadie usa MMS va por aca en Argentina al menos.

  • Y como es el encargado de obtener información de distintos archivos multimedia, la vulnerabilidad inclusive se aprovecharía/ejecutaría con tan sólo generar thumbnails, o leer atributos del archivo tales como tamaño, duración framerate, entre otros, ya sea recibiendo un MMS o explorando archivos como también visitando sitios con contenido malicioso embebido, y lo peor es que incluso no requiere de ninguna acción por parte del usuario (permisos según el dispositivo y versión de Android), tampoco implica que el dispositivo esté o no rooteado.

    Mencionan en PC World, “el atacante puede enviar un MMS malicioso cuando la víctima esté durmiendo con el tono del móvil silenciado, Drake menciona que después que esté vulnerado el dispositivo, el mensaje se pueda eliminar (preprogramada o remotamente) y el dueño del dispositivo nunca se percataría de que su dispositivo ha sido comprometido.”

    Esto es más que terrible, si los fabricantes no ofrecen actualizaciones con parches, al menos tenemos un rom de terceros como Cyanogenmod, y si lamentablemente contamos con un dispositivo con Android de un proveedor desconocido (marca poco conocida) y sin alternativa de custom roms conocidos, entonces lamentablemente ese dispositivo quedará para siempre vulnerable a ese error crítico.

    Esperemos por más detalles que presentarán en el Black Hat y DEF CON este mes de Agosto.
    http://review.cyanogenmod.org/#/c/103266/

    Cyanogenmod parchado https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
    ¿Qué nos queda si ni Google actualiza sus Nexus con excepción del 6? ¡a actualizar con un rom de terceros que hayan parchado estos bugs!

  • Oscar Mountblack

    Coincido en algunas cosas, por ejemplo en que Google debe tener el control de las actualizaciones, así es más fácil parchar cualquier vulnerabilidad a tiempo y minimizar cualquier daño, este es uno de los problemas que genera la Fragmentación en Android.
    Hace algunos días escribí un breve artículo sobre las fortalezas y debilidades de Android como sistema operativo móvil, abarcando de forma extensa el tema de la fragmentación y de cómo es que las capas de personalización deben dejar de existir para siempre, también mencioné de que no se debe permitir bajo ningún concepto que las Operadoras metan mano en el sistema. Por otro lado es destacable el hecho de que Google haya tomado la decisión de no permitir las capas de personalización en Android TV, Android Auto y Android Wear, debería ser igual de inflexible con los dispositivos móviles, si desean ver el artículo completo les dejo el link: http://bit.ly/1UaUBkQ
    Ahora bien, la solución a vulnerabilidades como el de Stagefreight a veces es más sencilla de lo que uno se imagina, sin más hoy actualicé la aplicación Textra SMS que es la que uso por defecto en todos mis dispositivos Android, y me he encontrado con una gratísima sorpresa al revisar los ajustes de la aplicación, les dejo la captura de pantalla. Saludos.