Google advierte que los fabricantes de teléfonos inteligentes con Android deben mejorar en la aplicación de parches a sus dispositivos.
en una entrada de blog (se abre en una pestaña nueva) publicado por el brazo de ciberseguridad de Google, Project Zero, los investigadores explican cómo la mayor fortaleza de Android, la descentralización de su ecosistema, es también su mayor debilidad.
Tal como están las cosas ahora, dice que el proceso de aplicación de parches es demasiado lento, demasiado engorroso y demasiado dividido, lo que deja a los consumidores en riesgo de vulnerabilidades conocidas y relativamente fáciles de explotar.
Problemas de descentralización
Android, aunque creado por Google, se basa en Linux y es esencialmente una solución de código abierto, por lo que los fabricantes de teléfonos inteligentes de terceros como Samsung, Oppo, LG y OnePlus pueden tomar posesión de su versión del sistema operativo.
Como resultado, cuando Google lanza un parche, primero debe ser analizado y modificado por el fabricante antes de enviarlo al dispositivo. Esto significa que los usuarios de Android pueden correr el riesgo de verse comprometidos por malware durante un período prolongado.
Si ese período se prolonga demasiado y Google publica los detalles de la vulnerabilidad al público, eso brinda a los ciberdelincuentes una oportunidad única para comprometer los puntos finales sin necesidad de buscar nuevos días cero.
Por el contrario, Apple ofrece un ecosistema cerrado para sus dispositivos. La empresa está a cargo de construir la mayor parte de su hardware y software. Por lo tanto, con las actualizaciones firmemente bajo el control de Apple, cada vez que la empresa lanza un parche, la mayoría de los terminales lo obtienen con bastante rapidez.
Eso es exactamente lo que sucedió con CVE-2021-39793, una vulnerabilidad en el controlador de GPU ARM Mali utilizado por muchos dispositivos Android que TechRadar Pro informado en noviembre de 2022.
Tan pronto como Google concluyó su investigación de ese día cero en julio de 2022, informó los hallazgos a ARM, quien luego lo parchó en agosto de 2022. Treinta días después, Google hizo públicos sus hallazgos.
Sin embargo, Google descubrió que todos los dispositivos de prueba que usaban Mali seguían siendo vulnerables a los problemas. «CVE-2022-36449 no se menciona en ningún boletín de seguridad posterior», dijo en ese momento, planteando el problema de lo que llama la «brecha de parche».
“Así como se recomienda a los usuarios que apliquen parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y las empresas”, se lee en la publicación del blog.
«Minimizar la ‘brecha de parches’ como proveedor en estos escenarios es posiblemente más importante, ya que los usuarios finales (u otros proveedores posteriores) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad del parche».
«Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible».