Los fallos de seguridad, aunque a primera vista no parezca gran cosa, son importantes: esos agujeros son los que aprovechan los amigos de lo ajeno para hacerse con nuestros datos, nuestras fotografías, y nuestras contraseñas. Puede que no seamos los blancos inmediatos de un ataque, pero conviene estar al día para evitar un susto.
Por ello, conviene saber que Android vuelve a estar de actualidad en lo que a seguridad se refiere, porque han saltado a las portadas dos nuevos fallos de gravedad considerable. ¿Qué debo saber sobre estos nuevos fallos, y cómo puedo evitar que me afecte?
StageFright vuelve a las portadas hecho realidad con Metaphor
Seguro que os acordáis bien de aquel exploit en los MMS que permitía la entrada de un troyano en nuestros dispositivos móviles, aquel StageFright que removió la seguridad en Android y puso a todo el sistema operativo en jaque. Se descubrió hace algo más de medio año, y aun sigue ocupando portadas a causa de su gravedad.
NorthBit, una compañía de desarrollo de software con sede en Israel, ha sido la responsable de traerlo de vuelta, dado que han sido los creadores de un método capaz de explotar la vulnerabilidad en la vida real. Este método, apodado ‘Metaphor’ por sus creadores, funciona en dispositivos Android con Android 2.2, 4.0, 5.0 y 5.1. El resto de versiones no son vulnerables a este problema, ya sea porque está corregido, ya sea porque Android no cuente con ASLR, un proceso de protección de la memoria.
El equipo no ha publicado sus avances completos, pero sí un estudio con «suficientes detalles para que un grupo especializado en seguridad informática pueda construir un exploit funcional», según declaraciones a Wired. En otras palabras, el estudio de NorthBit hace posible una situación en la que encontrarnos con usuarios de Android vulnerables al problema.
Snapdragon se lleva un palazo en seguridad
Mientras, Qualcomm se ha llevado un golpe duro en lo que a seguridad se refiere, porque también se han descubierto dos vulnerabilidades relacionadas con el código de sus procesadores. En una situación normal, la comunidad podría usar este agujero de seguridad como forma de conseguir acceso root al sistema, pero un atacante también puede utilizar el acceso root para hacerse con todos los datos de nuestro dispositivo -motivo por el que se tiene que tener cuidado con el root-.
Para ser exactos, las dos vulnerabilidades encontradas por Trend Micro, y que ya han sido resueltas por el equipo de seguridad de Google, son las siguientes:
- CVE-2016-0819 | Un fallo con origen en el Kernel, que revela información cuando no debe.
- CVE-2016-0805 | Un fallo producido al pedir la información del núcleo Krait del procesador Snapdragon, que puede formar parte de un ataque mayor.
Los dispositivos afectados por el fallo son, obviamente, los dispositivos con un procesador Snapdragon. Además, deben tener entre Android 4.4.4 y Android 6.0.1 según Google, incluyendo esas dos versiones.
¿Cómo puedo evitar estas vulnerabilidades de Android?
Android ha tenido un problema de seguridad gordo desde hace muchos años, y sólo hace unos meses han comenzado a resolverlo con las infames actualizaciones de seguridad de Android, justo cuando se descubrió StageFright. Si, hablamos de esas actualizaciones mensuales que se centran en arreglar los fallos de seguridad en el sistema operativo.
Hasta que comenzaron a salir esas actualizaciones, los usuarios estaban a completa merced de los fabricantes y las operadoras, y todos sabemos que ese sistema nunca se ha llevado bien con la rapidez; algo que tratan de paliar las actualizaciones mensuales de seguridad a su manera.
En el caso de Metaphor
En el caso de StageFright nos encontramos con un método sencillo de entender, pero complicado de ejecutar en algunos casos. Hablamos de la versión de Android, algo en lo que obtener actualizaciones no siempre es sencillo, y en este caso la indicación está clara: si puedes dar el salto desde Lollipop a Marshmallow, hazlo cuanto antes.
Si estás en una versión inferior vulnerable (2.2 o 4.0), parece improbable que vayas a tener una actualización a estas alturas a Marshmallow, pero sí pueden existir actualizaciones intermedias (Jelly Bean, KitKat y Gingerbread) que solucionarían el problema al no contar con ASLR.
En el caso de Snapdragon
En el caso de los permisos root de Qualcomm, la solución es algo más sencilla, porque Google ya lanzó parches para solucionarlos en las actualizaciones de seguridad de marzo y febrero, según los boletines de seguridad de Google. En otras palabras, actualiza a la última versión (marzo) de las actualizaciones mensuales, las cuales deberían estar incluidas en la última versión disponible para tu dispositivo.
¿Y si no puedo actualizar?
Bienvenidos al lado oscuro de Android, el lugar en el que nos encontramos cosas que no son tan bonitas. Las actualizaciones de seguridad de Google son un buen parche ante la lentitud de las actualizaciones de Android, pero si los fabricantes siguen sin actualizar todos sus dispositivos, seguimos teniendo el mismo problema. Decenas de dispositivos que jamás van a ver una solución, decenas de teléfonos y demás aparatos que van a ser vulnerables siempre.