Analizando el boletín de seguridad de Android de noviembre, vemos que hay una gran cantidad de cosas que parchear.
En total hay 36 vulnerabilidades asignadas a un CVE y otras 17 relacionadas con componentes de Qualcomm.
Dentro de Android, cuatro son críticas y 13 están calificadas como altas. Si hay alguna que sobresalga puede ser la CVE-2018-9527, simplemente porque es una vulnerabilidad de ejecución de código remoto (RCE) que afecta a todas las versiones desde Android 7.0 (Nougat) en adelante.
Las otras RCEs son CVE-2018-9531 y CVE-2018-9521, aunque ambas afectan a la versión 9.0 (pie), que afecta principalmente a los dispositivos estrenados desde el verano.
CVE-2018-9531 es un grupo de CVEs que surgen de la librería Libxaac, que Google dijo que había sido marcada como “experimental” y “no se incluirá en ninguna otra distribución de Android”.
Dejando aparte las otras vulnerabilidades de este mes relacionadas con Qualcomm, noviembre se asemeja mucho a cualquier otro mes del año: lleno de parches, exactamente lo que se supone que debería ser.
La parte complicada
Sin embargo, siendo Android, las cosas no son tan simples porque cuando estos parches aparecen en tu dispositivo, si es que llegan a aparecer, depende de varios factores.
Un factor es que los parches de noviembre son para las versiones 7.0 de Android y posteriores por lo que se afecta a dispositivo comprados después de agosto de 2016 o los que se actualizaron de versiones anteriores.
En otras palabras, si tu móvil o tablet tiene Android 6.x, los tres años en los que Google se compromete a ofrecer actualizaciones de seguridad acabaron en septiembre, por lo que estás solo ante el peligro.
Otro factor es lo rápido que el fabricante o el operador del dispositivo suministra esta actualización a sus clientes.
Para mejorar el proceso de actualización, en 2017 Google creó Project Treble que permitía a los proveedores aplicar parches de seguridad si tener que actualizar todo el sistema operativo.
Desafortunadamente, los proveedores, salvo Google, tardan de uno a varios meses en aplicar estos, mientras que a algunos incluso se le acusa a algunos de mentir sobre la versión del parche.
Es posible que el retraso tenga que ver con la diferencia de las actualizaciones del Android Framework (el que gestiona directamente Google) y los relativos a los componentes que forman parte del hardware y software propio de cada dispositivo del proveedor.
Por eso las actualizaciones de Android se gestionan a dos niveles, una se produce a día uno de cada mes y la otra a día cinco.
Si tu teléfono cita el 5 del mes (Ajustes > Información del teléfono > Nivel del parche de seguridad de Android) significa que tienes las actualizaciones del Framework para ese mes incluyendo las específicas de tu proveedor.
Si, sin embargo, ves el primer día del mes, quiere decir que tienes las actualizaciones del Framework pero las actualizaciones específicas de tu proveedor del mes anterior (ya te avisamos que era un poco complicado).
Al contrario de Apple, con su pequeña familia de dispositivos diseñados por ellos mismos, existen multitud de fabricantes de dispositivos Android, cada uno con diferentes modelos que ejecutan diferentes versiones de Android.
Por ahora, nos estamos acercando al sueño de que cada dispositivo Android tenga una actualización de seguridad mensualmente, aunque es frustrante ver que aún falta mucho.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario