Wednesday, February 17, 2016

Security gaps in Android from Ice Cream Sandwich to Lollipop

Muchos usuarios son totalmente conscientes de que Android partir de la versión 4.0.4 a 5.1.1 - también conocida como Lollipop - tiene muchos agujeros de seguridad que no han sido parcheados. Lo que es peor, no hay parches a la vista de muchos de ellos.

La organización del sistema operativo Android se considera bastante seguro, ya que las aplicaciones se inician en procesos cerrados y no pueden acceder al sistema en el área de la raíz u otras aplicaciones. Sin embargo, existen brechas de seguridad abiertas en cada sistema Android que probablemente nunca se cierra, a excepción de ahora en 6. Si un atacante explota esta brecha, se puede cargar una aplicación infectada en el sistema y el usuario será sin enterarse.

La brecha más conocido lleva el nombre de "Stagefright". Esta biblioteca estándar para el procesamiento de archivos multimedia se ha utilizado desde Android 2.3 a 5.1.1. Los expertos dicen que el 95 por ciento de todos los dispositivos Android se ven afectados. El uso de la aplicación gratuita, "VTS para Android" (de GitHub, no desde la tienda de aplicaciones de Google), el usuario puede comprobar esto por su cuenta. Por desgracia, le toca a los fabricantes de dispositivos móviles para decidir si ofrecen una actualización de seguridad o no. Algunos fabricantes han reaccionado, por desgracia, mientras que otros no tienen. Especialmente las versiones antiguas de Android no están en la agenda de actualización de cualquier fabricante. Aquí es donde sólo el uso de una aplicación de seguridad le ayudará, ya que escanea, detecta y liquida aplicaciones de malware que explota la vulnerabilidad.

Mientras tanto, Google y Samsung ofrecen una actualización mensual de seguridad para sus dispositivos más recientes. Otros fabricantes, como HTC, sí ofrecen una también, pero los cambios varían según el dispositivo y el país, y no están disponibles en todas partes. Es muy probable que algunos fabricantes pronto estarán promoviendo oficialmente las actualizaciones de seguridad mensuales. Esto posiblemente puede obligar a otros fabricantes a seguir su ejemplo.

No comments:

Post a Comment