Si eres una entre los muchos millones de personas que tienen un teléfono con Android, espero que estés logrando mantenerlo actualizado.
Para algunos usuarios de Android es fácil mantenerse al día con los últimos parches de seguridad. Quizás como era de esperar, son los dueños de teléfonos Nexus fabricados por Google los que parecen más aplicados, recibiendo actualizaciones cada mes. Pero algunos de los otros grandes fabricantes también están mejorando en el lanzamiento de actualizaciones de una manera razonablemente oportuna.
Esto es importante porque todo el tiempo se encuentran nuevas fallas en el sistema operativo de Android y podrían ser (potencialmente) explotadas por atacantes para comprometer tu smartphone o robar tus datos.
Ayer, Google anunció que había emitido su última actualización de seguridad "over-the-air" (OTA), solucionando varios problemas. Sí, lo más probable es que muchos hayan recibido como regalo un dispositivo con Android en las fiestas, y ya estén notando que hace falta una actualización para que funcione de manera más segura.
Las fallas, que se encuentran en múltiples versiones de Android desde KitKat (4.4) hasta Marshmallow (7) se listan a continuación:
| Problema | CVE | Severidad |
|---|---|---|
| Vulnerabilidad de ejecución remota de código en Mediaserver | CVE-2015-6636 | Crítica |
| Vulnerabilidad de elevación de privilegios en el driver misc-sd | CVE-2015-6637 | Crítica |
| Vulnerabilidad de elevación de privilegios en el driver Imagination Technologies | CVE-2015-6638 | Crítica |
| Vulnerabilidad de elevación de privilegios en Trustzone | CVE-2015-6639 | Crítica |
| Vulnerabilidad de elevación de privilegios en el Kernel | CVE-2015-6640 | Crítica |
| Vulnerabilidad de elevación de privilegios en Bluetooth | CVE-2015-6641 | Alta |
| Vulnerabilidad de filtrado de información en el kernel | CVE-2015-6642 | Alta |
| Vulnerabilidad de elevación de privilegios en Setup Wizard | CVE-2015-6643 | Moderada |
| Vulnerabilidad de elevación de privilegios en Wi-Fi | CVE-2015-5310 | Moderada |
| Vulnerabilidad de filtrado de información en Bouncy Castle | CVE-2015-6644 | Moderada |
| Vulnerabilidad de Denegación de Servicio en SyncManager | CVE-2015-6645 | Moderada |
| Reducción de la afectación del ataque para Kernels de Nexus | CVE-2015-6646 | Moderada |
La más preocupante, con el identificador CVE-2015-6636, recibió el nivel más alto de severidad: "crítica", y podría permitir la ejecución remota de código en dispositivos vulnerables a través de una variedad de métodos al manejar archivos multimedia - incluyendo correo electrónico, búsquedas en la web y MMS.
En otras palabras, un atacante podría tomar un archivo de una película, insertarlo en un sitio web o enviártelo por e-mail o MMS, y en cuestión de segundos habría instalado malware, tomando el control remoto de tu dispositivo y espiando tus archivos y conversaciones.
Eso, estoy seguro de que estarás de acuero, es una vulnerabilidad bastante seria. Afortunadamente, Google dice que no recibió reportes de explotación activa de estos problemas recientemente reportados. Las fallas que se aprovechan del manejo poco sólido de MMS por parte de Android le han estado dando a Google un dolor de cabeza en los últimos meses, con vulnerabilidades como Stagefright resonando en los medios.
Las cosas no mejoraron cuando se descubrió que el parche de Google para Stagefright no funcionaba correctamente, y se habló de Stagefright 2.0, una versión que ampliaba el alcance de la vulnerabilidad.
Esperemos que Google haya hecho un trabajo mejor esta vez.
Mi consejo es que si tienes un dispositivo Android vulnerable, deberías aplicar un parche. Pero Google solo ha emitido actualizaciones para los smartphones que fabrica; si tienes uno hecho por otra compañía tienes que esperar que ellos emitan el parche, y que tu operador lo aplique.
Google dice que informó a sus socios de Android de estos problemas y proveyó actualizaciones a los problemas descritos en su boletín de seguridad a principios de diciembre, y que se emitirán parches para el código fuente en el repositorio Android Open Source Project (AOSP) pronto.
Cuando tu dispositivo te informa que una actualización de seguridad está disponible, asegúrate de aplicarla. Si no eres uno de aquellos con la suerte de que le avisen cuando hay una, quizás deberías pensar en el fabricante de tu teléfono - debería saber que, en el futuro, serás menos propenso a comprar uno de sus equipos si no pueden hacer un buen trabajo en mantenerlo actualizado.
Sigue leyendo: Guía de seguridad en Android
