05 octubre 2015

Vulnerabilidad de Android, las Actualizaciones Mensuales y la realidad

stagefright exploit demo

Al igual que ustedes me surgen inquitudes acerca de las vulnerbilidades de Android y sus posibles actualizaciones mensuales anunciadas con anterioridad pero antes debemos conocer cuál es fallo de seguridad. Aqui les dejo parte de un articulo de Androidpit.es que me pareció bien explicito

Qué es Stagefright
Stagefright es el apodo que ha recibido un fallo de seguridad descubierto en el sistema operativo Android, a través del cual se puede hackear un teléfono que utilice Android enviando contenido multimedia en forma de MMS o a través de un archivo con formato MP3 o MP4. Al hacer esto, el mecanismo libStageFright, que vive dentro del sistema operativo y sirve para procesar contenido multimedia, funciona como un puente de acceso entre el atacante y el dispositivo.

Vulnerabilidad por archivos MP3 y MP4

Mil millones de dispositivos vuelven a estar expuestos a la vulnerabilidad de Stagefright, esta vez a través de archivos multimedia, que también son controlados por esta librería libStageFright, presente en la mayoría de terminales Android. Zimperium, la empresa que ya descubrió el fallo de Stagefright con los MMS, ha encontrado otra vulnerabilidad para ejecutar código malicioso a través de archivos de audio o video tipo MP3 y MP4.

Vulnerabilidad por mensajes multimedia MMS

Un teléfono puede ser atacado sin que el propietario se dé cuenta, ya que debido a la naturaleza de esta vulnerabilidad, el teléfono abriría la brecha de seguridad siguiendo el mecanismo con el que procesa el MMS con el vídeo, pudiendo así acceder a partes del teléfono, incluyendo archivos, imágenes, datos, cámara y micrófono. Aplicaciones como Hangouts abren MMS de manera automática, razón por la que se ha señalado esta app como particularmente perjudicial al hablar de la gravedad de Stagefright.
Qué teléfonos recibirán el parche de Stagefright
Todavía no se tienen noticias de una actualización que acabe con la vulnerabilidad de StageFrigth relacionada con los archivos multimedia pero una vez descubierto el gigante es mucho más fácil acabar con él. Google ya ha incluido esta vulnerabilidad en su actualización de seguridad para el mes de octubre y no tardarán mucho en desarrollar un antídoto.
Parche para la vulnerabilidad de los mensajes MMS
ASUS se suma a la actualización de seguridad y ya tiene disponible, vía OTA, un nuevo software para protegerse de los posibles exploit Stagefright, añadiendo algunas mejoras más. OnePlus 2 también tiene una actualización que ha empezado a lanzarse en la India vía OTA, para mejorar el rendimiento del dispositivo y solventar el parche de seguridad para Stafefright. La actualización tiene un tamaño de 1,1 GB.
Varios fabricantes ya han anunciado el desarrollo de la actualización de software que permitirá a sus teléfonos beneficiarse del parche de este seguridad. Estos son, por tanto, los modelos que recibirán la actualización de seguridad.


DISPOSITIVOS
GOOGLENexus 6, Nexus 5, Nexus 4, Nexus 9, Nexus 7 (2013), Nexus 7 (2012), Nexus Player
SAMSUNGGalaxy S6, Galaxy S6 Edge, Galaxy S5, Galaxy Note 4, Galaxy Note Edge
HTCOne M8, One M9
LGLG G2, LG G3, LG G4
SONYXperia Z2, Xperia Z3, Xperia Z3+, Xperia Z3 Compact
MOTOROLAMoto G 2015, Moto X Play, Moto X Style, Moto X, Moto X 2014, Moto Maxx, Moto G, Moto G 2014, Moto G 4G, Moto G 4G 2015, Moto E, Moto E 2015
ASUSZenfone 2
ONEPLUSOnePlus 2
Muchas páginas tienen en común el anuncio de que vienen actualizaciones mensuales, eso está muy bien en el sentido de que se puede mantener un Android mas seguro y aprovechar de corregir algunos problemas menores.

Pero viendo mas detallado, hablaré de mi caso, poseo un LG G2 D800 de AT&T, esta compañia tiene la política de que teléfonos que han sido liberados y no posean SIMCARD o linea de AT&T no reciben actualización de ningún tipo. En mi caso he tenido que recurrir a un método de forzar la OTA de manera manual, usando comandos ADB para poder obtener dichas actualizaciones. LO PEOR AUN ES QUE YA NO FUNCIONA ESE METODO A PARTIR D80030F. En otras palabras, los usuarios de este modelo de teléfono nos hemos quedado sin las actualizaciones de seguridad. 

Entonces sabiendo que hay un porcentaje de dispositivos en esa situación, no veo que ninguna de las empresas fabricantes de teléfonos adopten una posición para que todos sus productos reciban las actualizaciones de seguridad, dejando desprotegidos a los usuarios comunes. Ya en estos momentos estarán pensado que habrá que instalar una rom personalizada, yo la puedo instalar, pero no todos los usuarios de Android saben sobre el tema y hay inclusos algunos que les gusta dejar el teléfono original. 

Concluyendo, me parece injusto que no se tome alguna medida para resolver este asunto como el caso de AT&T y espero que los fabricantes de teléfonos no dejen en manos de las compañías proveedoras de red celular la responsabilidad de las actualizaciones de seguridad porque retrasará su llegada a nuestros dispositivos.