Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/09/2012
La mitat dels dispositius Android tenen errors sense corregir
Una vulnerabilitat sense apedaçar junt amb un programa maliciós podria portar a una escalada de privilegis i, fins i tot, al control complet del terminal.
Més del 50% dels dispositius basats en Android tenen vulnerabilitats serioses i estan sense apedaçar perquè sovint les operadores tarden a llançar el pedaç de seguretat. Així ho assegura, almenys, l’empresa de seguretat Duo Security.
Des que la firma va llançar al mercat X-Ray, una aplicació per a Android que escaneja el dispositiu en busca de vulnerabilitats, s’han arreplegat resultats de més de 200.000 terminals de tot el món. Utilitzant estos resultats inicials “estimem que la mitat dels dispositius Android de tot el món tenen vulnerabilitats sense apedaçar que podrien ser explotades”, ha dit Jon Oberheide, director tecnològic de Duo Security en un post.
Oberheide assegura, a més, que les vulnerabilitats detectades per X-Ray són serioses. És a dir, si l’usuari té instal·lada una aplicació maliciosa o un atacant ha aconseguit el codi d’execució a través d’un exploit del navegador estes vulnerabilitats “permeten una escalada de privilegis i el control complet del dispositiu”, diu l’executiu.
La gravetat de l’assumpte és que les vulnerabilitats poden romandre en els dispositius durant mesos o, fins i tot, durant anys, perquè les operadores són “molt conservadores” a l’hora de llançar els pedaços que solucionen la fallada, uns pedaços que segons Oberheide són molt cars de desenrotllar, provar i implementar.
A això se suma el fet que no tenen massa incentius a l’hora d'apedaçar i mantindre els dispositius actualitzats perquè no hi ha cap responsabilitat ni fiabilitat que el dispositiu de l’usuari estiga compromés a conseqüència d’una fallada sense apedaçar. “Les operadores preferixen apostar pels últims i grans dispositius pels quals els usuaris paguen més diners, que per invertir diners en els dispositius existents”, assegura Oberheide.