¿Tienes Android? Espero que lo estés actualizando

Si eres una entre los muchos millones de personas que tienen un teléfono con Android, espero que estés logrando mantenerlo actualizado.

Para algunos usuarios de Android es fácil mantenerse al día con los últimos parches de seguridad. Quizás como era de esperar, son los dueños de teléfonos Nexus fabricados por Google los que parecen más aplicados, recibiendo actualizaciones cada mes. Pero algunos de los otros grandes fabricantes también están mejorando en el lanzamiento de actualizaciones de una manera razonablemente oportuna.

Esto es importante porque todo el tiempo se encuentran nuevas fallas en el sistema operativo de Android y podrían ser (potencialmente) explotadas por atacantes para comprometer tu smartphone o robar tus datos.

Ayer, Google anunció que había emitido su última actualización de seguridad “over-the-air” (OTA), solucionando varios problemas. Sí, lo más probable es que muchos hayan recibido como regalo un dispositivo con Android en las fiestas, y ya estén notando que hace falta una actualización para que funcione de manera más segura.

Las fallas, que se encuentran en múltiples versiones de Android desde KitKat (4.4) hasta Marshmallow (7) se listan a continuación:

Problema CVE Severidad
Vulnerabilidad de ejecución remota de código en Mediaserver CVE-2015-6636 Crítica
Vulnerabilidad de elevación de privilegios en el driver misc-sd CVE-2015-6637 Crítica
Vulnerabilidad de elevación de privilegios en el driver Imagination Technologies CVE-2015-6638 Crítica
Vulnerabilidad de elevación de privilegios en Trustzone CVE-2015-6639 Crítica
Vulnerabilidad de elevación de privilegios en el Kernel CVE-2015-6640 Crítica
Vulnerabilidad de elevación de privilegios en Bluetooth CVE-2015-6641 Alta
Vulnerabilidad de filtrado de información en el kernel CVE-2015-6642 Alta
Vulnerabilidad de elevación de privilegios en Setup Wizard CVE-2015-6643 Moderada
Vulnerabilidad de elevación de privilegios en Wi-Fi CVE-2015-5310 Moderada
Vulnerabilidad de filtrado de información en Bouncy Castle CVE-2015-6644 Moderada
Vulnerabilidad de Denegación de Servicio en SyncManager CVE-2015-6645 Moderada
Reducción de la afectación del ataque para Kernels de Nexus CVE-2015-6646 Moderada

La más preocupante, con el identificador CVE-2015-6636, recibió el nivel más alto de severidad: “crítica”, y podría permitir la ejecución remota de código en dispositivos vulnerables a través de una variedad de métodos al manejar archivos multimedia – incluyendo correo electrónico, búsquedas en la web y MMS.

En otras palabras, un atacante podría tomar un archivo de una película, insertarlo en un sitio web o enviártelo por e-mail o MMS, y en cuestión de segundos habría instalado malware, tomando el control remoto de tu dispositivo y espiando tus archivos y conversaciones.

Eso, estoy seguro de que estarás de acuero, es una vulnerabilidad bastante seria. Afortunadamente, Google dice que no recibió reportes de explotación activa de estos problemas recientemente reportados. Las fallas que se aprovechan del manejo poco sólido de MMS por parte de Android le han estado dando a Google un dolor de cabeza en los últimos meses, con vulnerabilidades como Stagefright resonando en los medios.

Las cosas no mejoraron cuando se descubrió que el parche de Google para Stagefright no funcionaba correctamente, y se habló de Stagefright 2.0, una versión que ampliaba el alcance de la vulnerabilidad.

Esperemos que Google haya hecho un trabajo mejor esta vez.

Mi consejo es que si tienes un dispositivo Android vulnerable, deberías aplicar un parche. Pero Google solo ha emitido actualizaciones para los smartphones que fabrica; si tienes uno hecho por otra compañía tienes que esperar que ellos emitan el parche, y que tu operador lo aplique.

Google dice que informó a sus socios de Android de estos problemas y proveyó actualizaciones a los problemas descritos en su boletín de seguridad a principios de diciembre, y que se emitirán parches para el código fuente en el repositorio Android Open Source Project (AOSP) pronto.

Cuando tu dispositivo te informa que una actualización de seguridad está disponible, asegúrate de aplicarla. Si no eres uno de aquellos con la suerte de que le avisen cuando hay una, quizás deberías pensar en el fabricante de tu teléfono – debería saber que, en el futuro, serás menos propenso a comprar uno de sus equipos si no pueden hacer un buen trabajo en mantenerlo actualizado.

Sigue leyendo: Guía de seguridad en Android

Autor Graham Cluley, We Live Security

Síguenos