Google advierte que los fabricantes de teléfonos inteligentes con Android deben mejorar en la reparación de sus dispositivos.
En una publicación de blog (se abre en una pestaña nueva) publicada por el brazo de ciberseguridad de Google, Project Zero, los investigadores explican cómo la mayor fortaleza de Android, la descentralización de su ecosistema, es también su mayor debilidad.
Tal como está, dice que el proceso de aplicación de parches es demasiado lento, engorroso y demasiado dividido, lo que deja a los consumidores expuestos a vulnerabilidades conocidas que son relativamente fáciles de explotar.
Los problemas de la descentralización
Android, aunque creado por Google, se basa en Linux y es esencialmente una solución de código abierto, por lo que los fabricantes de teléfonos inteligentes de terceros como Samsung, Oppo, LG y OnePlus pueden tomar posesión de su versión del sistema operativo.
Por lo tanto, cuando Google lanza un parche, primero debe ser analizado y modificado por el fabricante antes de enviarlo al dispositivo. Esto significa que los usuarios de Android corren el riesgo de verse comprometidos por malware durante un período prolongado de tiempo.
Si este período se prolonga demasiado y Google publica los detalles de la vulnerabilidad, los ciberdelincuentes tienen una oportunidad única de comprometer los puntos finales sin tener que buscar nuevos días cero.
Por el contrario, Apple ofrece un ecosistema cerrado para sus dispositivos. La empresa está a cargo de construir la mayor parte de su hardware y software. Entonces, con las actualizaciones firmemente bajo el control de Apple, cada vez que la compañía publica una solución, la mayoría de los dispositivos la obtienen con bastante rapidez.
Esto es exactamente lo que sucedió con CVE-2021-39793, una vulnerabilidad del controlador de GPU ARM Mali utilizada por muchos dispositivos Android que LaComparacion Pro informó en noviembre de 2022.
Tan pronto como Google concluyó su investigación de ese día cero en julio de 2022, informó los hallazgos a ARM, que luego los corrigió en agosto de 2022. Treinta días después, Google hizo públicos sus hallazgos.
Sin embargo, Google descubrió que todos los dispositivos de prueba que usaban Mali seguían siendo vulnerables a los problemas. «CVE-2022-36449 no se menciona en ningún boletín de seguridad posterior», dijo en ese momento, planteando el tema de lo que él llama la «brecha de parche».
«Así como se recomienda a los usuarios que arreglen lo antes posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, también lo son los proveedores y las empresas», se lee en la publicación del blog.
«Minimizar la ‘brecha de parches’ como proveedor en estos escenarios es posiblemente más importante, ya que los usuarios finales (u otros proveedores intermedios) bloquean esta acción antes de que puedan experimentar los beneficios de seguridad del parche».
«Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para ofrecer soluciones completas a los usuarios lo antes posible».
