Tradicionalmente, el gran problema de Android es consecuencia directa de su gran ventaja: su libertad extrema. El hecho de que cada fabricante, incluso cada operadora, pueda modificar el sistema a su gusto supone una fragmentación que trae consecuencias, especialmente cuando toca actualizar.
[Los Samsung Galaxy han sido vulnerables a código de ejecución: asegúrate de actualizar tu móvil]
Aunque Android ha mejorado en ese sentido en los últimos años, muchos móviles que usan el sistema son abandonados por sus fabricantes, simplemente porque es difícil dar soporte a semejante cantidad de modelos diferentes. Google ha implementado algunas soluciones, como lanzar actualizaciones como parte de los servicios de Google, saltándose a los fabricantes, pero es evidente que no es la panacea cuando ocurren casos como el que comentamos hoy.
Agujero de seguridad en móviles Android
El pasado mes de junio, Project Zero, el equipo de especialistas en ciberseguridad formado por Google, publicó un estudio en el que revelaba la existencia de cinco vulnerabilidades que afectaban a móviles Android, y que podían ser usadas conjuntamente ofrecen acceso a la memoria del sistema y por lo tanto, a cualquier cosa que quiera el atacante. Por ejemplo, es posible saltarse los permisos de Android y acceder a datos que normalmente estarían fuera del alcance de una app.
En concreto, el problema no está en el sistema Android propiamente dicho, sino en el driver usado para la GPU Mali, que se usa en muchos procesadores montados en smartphones Android para gráficos 3D y videojuegos. Los investigadores probaron el ‘bug’ en móviles de marca Pixel, Xiaomi, Samsung, Oppo y otros, y en todos era posible aprovecharlo.
El equipo de investigadores informó a Arm, la creadora del chip, y esta lanzó un parche de seguridad que solucionaba el ‘bug’ y que los fabricantes sólo tenían que aplicar a sus sistemas; como es habitual en Project Zero, el equipo esperó 30 días más a publicar los resultados de sus investigaciones, para que los fabricantes pudiesen hacer el trabajo necesario, y lanzar la actualización a los usuarios.
Los investigadores critican a la industria
Ahí podría haber terminado la cosa, pero lejos de eso, este agujero de seguridad sigue abierto. Esta semana Project Zero ha tenido que volver a este problema que creía cerrado, porque ha comprobado que todos los móviles que probó en su día siguen siendo vulnerables. En efecto, ninguno de los principales fabricantes del sector hizo caso a Arm, y ninguno lanzó la actualización necesaria; aunque es más probable que la actualización exista y aún no haya podido ser lanzada a todos los móviles.
Los investigadores han criticado a los fabricantes afectados, afirmando que “de la misma manera que los usuarios deben actualizar lo antes posible […] lo mismo se aplica a distribuidores y compañías”, y que de hecho, consideran más importante que estas últimas minimicen el plazo de tiempo para lanzar parches.
Eso también supone que Google se está criticando a sí misma, ya que los Pixel tampoco han sido actualizados para tapar el agujero; aunque desde el principio, Project Zero nació con garantía de independencia para evitar acusaciones de favoritismo que afectasen a su credibilidad.
Te puede interesar
- Los móviles baratos Android con chip Unisoc presentan graves problemas de vulnerabilidad
- Un fallo en los módems de Qualcomm hace vulnerables el 30% de móviles Android
- Un Redmi Note 9 da la alerta: los procesadores de MediaTek han estado comprometidos
- Un fallo en la tienda AppGallery de Huawei permite descargar gratis apps de pago