Noticias

Algunos fabricantes de smartphones Android mienten sobre las actualizaciones de seguridad cambiando solamente la fecha sin agregar parches

Algunos fabricantes de smartphones Android mienten sobre las actualizaciones de seguridad cambiando solamente la fecha sin agregar parches

Las actualizaciones en Android han sido (y son) un desastre durante mucho tiempo. A pesar de los mejores esfuerzos de Google para mejorar la seguridad y facilitar las actualizaciones para todos, es raro que un OEM (fabricante de equipos originales) pueda mantenerse al día con todo lo que Google está haciendo. Sin embargo, de acuerdo con un nuevo informe, algunos han estado diciendo que están actualizados, sin estarlo realmente

Un informe de WIRED hoy cita investigadores del Security Research Lab que han pasado dos años controlando las actualizaciones de seguridad de Android. En un próximo evento en Amsterdam, planean presentar sus hallazgos, y es bastante incómodo.

marcas-con-parches-de-seguridad-Android-marcados-erroneamente-segun-fecha-indicada-comic

Durante bastante tiempo, Google ha estado preparando parches de seguridad mensuales para Android, sellando las grietas en los problemas del sistema operativo. Para que sea más fácil para los usuarios verificar su nivel de seguridad, Android agregó una sección práctica en la configuración para identificar el nivel de parche en función de la fecha. Estos investigadores de SRL se tomaron el tiempo de “minuciosamente” verificar y asegurarse de que los parches aplicados a un dispositivo realmente se alinearan con esas fechas.

En resumen, muchos OEM de Android fracasaron a lo grande aquí. En muchos casos, se encontró un “espacio de parche”, con dispositivos que muestran una fecha específica para las actualizaciones de seguridad, pero faltan “hasta una docena” de los parches de esa actualización.

NO TE PIERDAS:  Qué hacer con tu viejo teléfono Android antes de venderlo

SRL probó 1.200 dispositivos de una docena de fabricantes para recopilar estos resultados en 2017. Los teléfonos provienen de Google, Samsung, Motorola, HTC, ZTE, TCL y muchos otros.

Google con su Pixel cumple, no se puede decir lo mismo del resto

marcas-con-parches-de-seguridad-Android-marcados-erroneamente-segun-fecha-indicada

Si bien la mayoría de los buques insignia no estuvieron afectados en este punto, casi todos fueron culpables. Los dispositivos Pixel 2 y Pixel 2 XL propios de Google eran, por supuesto, seguros, pero los productos insignia de alto nivel, incluso de compañías como Sony y Samsung, hasta cierto punto, carecían de parches. La tabla a continuación descompone los números un poco.

Cambian la fecha del parche de seguridad sin aplicarlo

El problema aquí no es solo una cuestión de descuidar las actualizaciones. Es extremadamente (molesto) común que los fabricantes de equipos originales no actualicen los dispositivos, y luego lo hagan a destiempo. Por el contrario, lo que está sucediendo en algunos casos es que los fabricantes de equipos originales están cambiando la fecha de actualización de seguridad en el dispositivo sin instalar realmente los parches asociados, mintiendo efectivamente a los clientes.

Varias marcas no instalaron ni un solo parche, pero cambiaron la fecha durante varios meses

Aparentemente, varios proveedores “no instalaron ni un solo parche pero cambiaron la fecha del parche varios meses”. Los investigadores lo describieron como “engaño deliberado”, pero afortunadamente descubrieron que no era muy común.

NO TE PIERDAS:  Qué hacer con tu viejo teléfono Android antes de venderlo

Este sigue siendo un problema bastante grande, ya que hace que sea casi imposible determinar el nivel de seguridad en un dispositivo. Para ayudar a remediar eso, SRL ha lanzado una actualización de su aplicación de Android, Snoopsnitch (aquí abajo os dejamos el enlace a la aplicación), que verifica para asegurarse de que su dispositivo tenga los parches indicados en la información del dispositivo.

SnoopSnitch
Precio: Gratis

Google ya ha comentado sobre este asunto a WIRED, indicando que una posible causa de los hallazgos podría haber sido la prueba con dispositivos no certificados, que se mantienen con un estándar de seguridad más bajo. Además, Google argumentó que los parches faltantes podrían deberse a que un teléfono específico no ofrece una característica afectada, o que un OEM simplemente elimine una característica afectada en lugar de parchear.

La compañía concluyó su declaración diciendo:

Esta es una investigación importante. Hemos iniciado investigaciones en cada instancia y cada OEM para que cumplan con sus dispositivos certificados … [pero] cada caso realmente necesita más investigación.

Estos parches faltantes pueden no ser el fin del mundo para la seguridad de Android, ya que tanto Google como los investigadores señalaron que “hackear” Android es mucho más complicado que solo explotar los parches de seguridad faltantes. El caso, es que engañar a los clientes no es algo muy ético que digamos… veremos como acaba todo esto.

Click para comentar

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

To Top