Android: ¿Nos siguen tomando el pelo?
La mayoría de los que nos dedicamos a las TIC sabemos que los programas y sistemas operativos no son perfectos en cuanto a seguridad se refiere. Investigadores de seguridad privados, de empresas, aficionados y académicos dedican sus esfuerzos experiencia e inteligencia en buscar, comprobar y notificar a los fabricantes y a los consumidores, sobre las fallas que encuentran y los riesgos que implican.
Posteriormente los fabricantes suelen realizar las correcciones y ponerlas a disposición para que cada uno actualice su computadora, servidor, notebook, tablet o celular inteligente.
Los delincuentes se aprovechan de esas fallas, las que no se han solucionado en millones de equipos, para, de una forma u otra, conseguir robar información y finalmente ganar dinero ilegalmente.
Lamentablemente el modelo de actualizaciones de Android nos impide a los consumidores decidir o poder acceder a actualizar los parches que se realizan y mantenernos protegidos.
Sencillamente debemos esperar mansamente que el fabricante decida actualizar cada versión de Android [PDF] para cada modelo de celular que produce, cosa sabida es que lo hacen solo para pocos modelos,(muchos modelos quedan abandonados sin actualizaciones) y que la telco decida «homologarlo» y ponerlo disponible para actualizar OTA (Over The Air).
Y para emperorar las cosas, las actualizaciones suelen ser siempre una versión superior de todo el SO Android, no solo el módulo corregido.
De todo lo anterior resulta que para instalar la corrección de una falla de que ocupa 20 o 30 líneas de código, debemos instalar todo el sistema operativo, en su versión más reciente disponible, siempre que esté disponible.
Hace pocos días recibimos la noticia de una vulnerabilidad descubierta con la que:
«Un atacante podría engañar al usuario ya que daría una relación falsa dominio-IP, enviando una dirección incorrecta al realizar una petición DNS. «
Aparentemente, es una fortuna que el grupo desarrollador la corrigió tan pronto como supieron de ello. Pero no deja de sorprender lo que leemos en el boletín de la alerta:
«La vulnerabilidad ha sido reportada y corregida por el Android Security Team en la versión 4.1.1. El fabricante aconseja actualizar a dicha versión lo antes posible.»
Sres. de equipo de Android: ¿Nos siguen tomando el pelo? Como esperan que un consumidor realice tal actualización.
¿Como se pueden actualizar (proteger) cerca del 80% de los usuarios que no tienen Android 4.x?
¿Se se van a actualizar con las correcciones de seguridad alguna vez las versiones anteriores a Android 4?
Esto que no es un hecho aislado, sino una falla conceptual desde su mismo inicio, nos lleva a pensar que el modelo de seguridad de Android, en cuanto a actualizaciones de seguridad se refiere, es un GRAN FALLO y divide al mundo en dos grupos claramente definidos:
- Los «Beneficiados»: los fabricantes de celulares, las telcos, vendiendo más celulares por la obsolecencia generada por fallas de seguridad y falta de actualización. Los delincuentes que atacan los celulares, que cuentan con una amplia base de equipos con fallas documentadas. Los fabricantes de soluciones antimalware, produciendo y vendiendo soluciones que intentan proteger los equipos.
- Las «Víctimas»: casi todos los usuarios de Android.
Si alguna vez los consumidores entienden esto, no creo que quieran comprar nunca más un celular o tablet con Android. En cuanto a seguridad hoy en día son superiores, Apple iOS, Blackberry OS o Windows Phone. ¿que piensan ustedes?
Algunas lecturas sobre el tema:
http://www.segu-info.com.ar/terceros/?titulo=android
http://www.csirtcv.gva.es/es/alertas/vulnerabilidad-de-falsificaci%25C3%25B3n-dns-en-android.html
https://www.ccn-cert.cni.es/index.php?option=com_vulnerabilidades&task=view&id=6386&Itemid=
http://seclists.org/bugtraq/2012/Jul/137
http://blog.watchfire.com/files/androiddnsweakprng.pdf
Fuente: Segu-Info
Hackers en la red 