eldiario.es

9

Diario Turing Diario Turing

Por qué nadie arregla el fallo que afecta al 60% de los Android

Todos los dispositivos con Android 4.3 o una versión anterior están afectados por el fallo

Google afirma que el fallo queda fuera de soporte y delega en fabricantes y operadoras, quienes es poco probable que hagan una actualización para terminales tan antiguos para ellos

El fallo de seguridad en Android afecta a cientos de millones de usuarios

El fallo de seguridad en Android que descubrió la compañía de seguridad Rapid7 podría afectar a cientos de millones de usuarios de Android. Son todos los que aún usan la versión 4.3 de la plataforma, Jelly Bean, o alguna de las anteriores, que atendiendo a los datos que Google aporta a los desarrolladores suponen alrededor de un 60% del total de usuarios.

Tal y como explican en el blog de Rapid7, el bug está en el componente WebView, que facilita la vista de contenido en Android, como páginas web. Google ya ha dejado claro que no lanzará un parche de seguridad para esta vulnerabilidad, pues Webview está asentado en las versiones anteriores a la 4.3 de la plataforma. La compañía delega, por tanto, en los fabricantes y las operadoras, que modifican el sistema para adaptarlo a sus intereses, la tarea de resolver este problema.

Lo primero que hace Google ante una incidencia de este tipo es lanzar una actualización de seguridad para los dispositivos Nexus, que cuentan con la versión más pura de Android. En conversación con eldiario.es, un portavoz de la compañía en España nos dice: "Nos aseguramos de que las siguientes versiones de Android están protegidas y desarrollamos parches para versiones de Android en dispositivos que continúan bajo el soporte de los fabricantes". "Cuando es posible, también actualizamos los servicios de seguridad de Google para Android, con el fin de proporcionar una capa extra de protección a todos los dispositivos Android, estén o no vinculados a un fabricante".

En las versiones posteriores de Android, a partir de la 4.4, las cosas son más fáciles, pues el componente WebView se ha desligado del núcleo del sistema operativo y las actualizaciones de seguridad pueden llegar a través de la Play Store. Sin embargo, no ocurre lo mismo en las versiones anteriores. Lo más seguro sería actualizar los terminales a la 4.4, pero en muchos casos son dispositivos antiguos.

La fragmentación de Android también dificulta esta tarea. El sistema puede ser modificado por cualquiera para incluirlo en su smartphone o tableta, con lo que existe una gran cantidad de versiones de la plataforma. Esta es la principal razón por la que Jelly Bean, Android 4.3 (que comenzó su andadura comercial en julio de 2012), es el sistema más extendido de todos, mientras que Lollipop, la 5.0, ni siquiera ha alcanzado el 0,1% de cuota. De esta forma, queda en manos de fabricantes y operadoras adaptar para sus dispositivos las actualizaciones que lanza Google y no en todos los casos suelen hacerlo.

El juego de la patata caliente

Adán Muñoz, director de producto de bq, algunos de cuyos terminales activos están por debajo de la versión 4.3, centra el problema en el navegador por defecto de Android. Aquel que venía preinstalado en los terminales hasta que Google decidió sustituirlo por Chrome. Google detuvo el desarrollo del Android Browser, que utiliza WebView para renderizar las páginas web, con lo que tampoco ofrecen parches de seguridad. "Lo que se recomienda a la gente es que utilice Chrome", indica.

Muñoz asegura que el Android Browser apenas se utiliza, con lo que no le ven mucho sentido a sacar una actualización. "Probablemente los proveedores de los procesadores serían capaces de sacar fácilmente parches de seguridad para estos navegadores, probablemente los fabricantes también podríamos hacerlo", apunta, antes de añadir que hace tiempo que sus terminales no se venden con este navegador. "Normalmente quien lo hace es el proveedor de la aplicación, que en este caso es Google. Pero ha discontinuado el desarrollo".

Compañías como Qualcomm o MediaTek serían las encargadas de adaptar cada versión de Android que aparece a sus procesadores, según indica Muñoz. "Cuando hay una actualización de seguridad son ellos los que publican el parche de seguridad adaptado a sus procesadores. Este fallo en concreto probablemente sea de más alto nivel, de framework. Probablemente no esté directamente relacionado con el hardware, con lo cual el proveedor del procesador tampoco te va a sacar una actualización".

En Rapid7 no aclaran en qué consiste el fallo, pero sí señalan que han descubierto varios exploits para aprovechar la vulnerabilidad de WebView. Estos exploits afectan a las versión 4.3 de Android o inferiores.

Imagen: Andrekheren

Muy Bien, has hecho Like

¿Qué tipo de error has visto?
¿La sugerencia que quieres realizar no está entre estas opciones? Puedes realizar otro tipo de consultas en eldiario.es responde.
Error ortográfico o gramatical Dato erróneo

¡Muchas gracias por tu ayuda!
El equipo de redacción de eldiario.es revisará el texto teniendo en cuenta tu reporte.

Comentar

Enviar comentario

Comentar

Comentarios

Ordenar por: Relevancia | Fecha