Si crees que los nuevos teléfonos Android son inmunes a las vulnerabilidades de seguridad, vuelve a pensarlo: un nuevo análisis realizado por la empresa de seguridad Kryptowire descubrió 146 vulnerabilidades de nivel CVE en dispositivos de 29 fabricantes de smartphones.
Sin estudiar el informe en detalle, no está claro cuántas vulnerabilidades son críticas, pero la mayoría de los usuarios estarían de acuerdo en que 146 solo durante 2019 parecen muchas.
Estas vulnerabilidades podrían permitir la modificación de las propiedades del sistema (28,1%), la instalación de la aplicaciones (23,3%), la ejecución de comandos (20,5%) y la configuración inalámbrica (17,8%).
Recuerda, estos dispositivos, que incluían teléfonos inteligentes Android fabricados por Samsung y Xiaomi, nunca se habían encendido, y mucho menos descargaron una aplicación poco fiable: estos son problemas de seguridad incluidos en teléfonos nuevos, no los que comprometen al dispositivo durante su uso.
El culpable es una gama de software específica de cada fabricante, instalada además de Android o las aplicaciones de Google.
Pero, al igual que las aplicaciones de Android y Google, no se pueden desinstalar. La única forma de solucionar uno de estos defectos es que se informe al fabricante del teléfono sobre el problema y que este emita una solución.
Fabricación contaminada
No es la primera vez, por supuesto. En agosto de 2019, la investigadora de Google Project Zero, Maddie Stone, hizo una presentación en el Black Hat para resaltar el problema del malware que ella y sus colegas habían descubierto que se instalaba en dispositivos Android en la cadena de producción.
Si bien esto está relacionado con el software instalado deliberadamente para hacer cosas malas en lugar de software vulnerable, el efecto desde el punto de vista del usuario es que están expuestos sin darse cuenta.
En un ejemplo, la botnet Chamois logró infectar 21 millones de dispositivos. Incluso después de una limpieza concertada, dos años después todavía se aferraba a los dispositivos de casi 7,4 millones de víctimas.
Menos es aún más
¿Cuál es entonces el problema fundamental aquí? Claramente, estos dispositivos que forman parte de complejas cadenas de suministro de hardware y software, por lo que quizás los dispositivos Android vulnerables o comprometidos simplemente vayan a ese territorio.
No según Kryptowire, cuyo CEO Angelos Stavrou hizo un comentario importante en una entrevista con Wired:
Creemos que si usted eres un proveedor, no puedes confiar en nadie más que tenga el mismo nivel de permisos que tú dentro del sistema. Esto no debería ser automático.
Podría decirse que se deduce que quizás los proveedores no deberían instalar tanto software programado en dispositivos Android que los usuarios no puedan desinstalar. La sospecha es parte de esto solo está allí por razones comerciales, una motivación escandalosa para arriesgar la seguridad de un dispositivo.
Nuestro consejo es considerar comprar a un proveedor que vende acciones, o casi existencias, de Android (es decir, con un mínimo de software adicional).
La mayoría de los fabricantes que Kryptowire considera que tienen dispositivos vulnerables son marcas que nadie fuera de Asia probablemente encontrará. Por otro lado, se encontró un número desproporcionado de defectos en las marcas populares.
Sin lugar a dudas, ayudaría si los fabricantes de dispositivos Android pasaran más tiempo examinando sus productos para detectar el tipo de vulnerabilidades que las compañías de seguridad parecen ser capaces de descubrir con bastante facilidad. ¿Eso va a pasar? Para ti, Google.
Dejar un comentario