Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Google arroja a casi mil millones de usuarios de Android debajo del autobús, se niega a parchear la vulnerabilidad del sistema operativo

Cuando se trata de proporcionar actualizaciones de seguridad para productos anteriores, varios fabricantes han seguido diferentes estrategias. Algunos, como Microsoft, tienden a proporcionar actualizaciones de seguridad mucho después de haber dejado de vender un sistema operativo (Microsoft dejó de ofrecer soporte para Windows XP el año pasado). Otros, como Google y Apple, han perseguido plazos más estrictos para las actualizaciones de seguridad. Google ahora está duplicando ese calendario, negándose a parchear errores en Android 4.3 o anteriores, incluso cuando esos errores podrían exponer vulnerabilidades críticas en casi mil millones de dispositivos.

Las fallas en este caso afectan a Android 4.1 a 4.3, también conocido como Jelly Bean, que comenzó a distribuirse a mediados de 2012 y fue la versión principal de Android hasta finales de 2013, o hace aproximadamente 14 meses. Hasta hace muy poco, Google ha solucionado agresivamente problemas en el motor de renderizado WebView de Android. Antes de KitKat (Android 4.4), todas las versiones de Android usaban la versión de WebView que se encuentra en el navegador de Android para representar páginas web HTML. Con KitKat y Lollipop, Google actualizó el sistema operativo para usar un complemento WebView derivado de su proyecto Chromium.

Cuando la empresa de seguridad Rapid7 descubierto un nuevo exploit en la versión del navegador de Android de WebView, contactó a Google para informar a la compañía que Android 4.3 y versiones anteriores eran vulnerables. La respuesta de Google y el cambio de política están despertando gran atención. En concreto, la empresa manifiesta que:

Si la versión afectada [of WebView] es anterior a 4.4, generalmente no desarrollamos los parches nosotros mismos, pero damos la bienvenida a parches con el informe para su consideración. Aparte de notificar a los OEM, no podremos tomar medidas sobre ningún informe que afecte a versiones anteriores a la 4.4 que no vayan acompañadas de un parche.

KitKat-Webview

Este no es un problema menor. El 60% de los usuarios de Android tienen versiones anteriores a KitKit. Nadie usa Lollipop todavía.

En otras palabras, ahora se espera que el personal de seguridad presente una parche para solucionar un problema cuando lo denuncien. Si lo hacen, Google «considerará» el parche para ver si resuelve el problema. Si no lo hacen, Google ahora dice que lo único que puede hacer es informar a varios OEM del problema.

Lo que Google está haciendo, en esencia, es decirle a su comunidad de usuarios «Lo siento, tienes que decirle a Samsung, LG y Motorola que te proporcionen una versión actualizada de nuestro sistema operativo». Esto es graciosamente imposible. Nunca volaría en el mundo de las PC; imagínese a Microsoft diciéndoles a los clientes: «Lo siento, tiene que hacer que HP, Dell y Lenovo le proporcionen una actualización gratuita para nuestro sistema operativo». La disparidad es aún mayor si se considera que, en la mayoría de los casos, una computadora con una versión anterior de Windows lata ser actualizado por el usuario final para ejecutar la próxima versión. Esa actualización puede ser un dolor de cabeza, pero los requisitos del sistema en Windows no han cambiado en nueve años.

El comprador promedio de un teléfono o tableta no tiene forma de actualizar su sistema operativo a menos que el operador proporcione una actualización de OTA, y los ciclos de actualización de dos años significan que muchas personas se quedarán atrapadas en dispositivos rotos con exploits conocidos que Google no va a utilizar. arreglar. Por supuesto, el hecho de que Google corrija un exploit no significa que los operadores lo implementarán, y la fragmentación ha sido un problema importante en el ecosistema de Android a lo largo de los años, pero hay una diferencia entre reconocer la dificultad de mantener actualizaciones de seguridad para la totalidad de uno. base de usuarios y se niega rotundamente a hacerlo.

Empujar a los OEM de Android de código abierto

Una razón obvia por la que Google deja de solucionar los problemas del navegador de Android es que la compañía se está moviendo agresivamente para que los OEM dejen de usar las funciones de código abierto de Android y las reemplacen con funciones con licencia directa de Google. Ars Technica ha hecho una extensa reseña en esta tendencia aquí, y deshacerse del navegador de Android es una faceta clave de alejarse de un Android que realmente se mantiene y es útil.

No, Google no asesinato Android: solo garantiza que las únicas partes del programa que obtienen actualizaciones de funciones, mejoras de capacidad y mejoras de rendimiento son las partes que requieren acuerdos de licencia y promete no desarrollar productos de la competencia. La razón por la que el Kindle Fire de Amazon tiene su propia tienda de aplicaciones y el interés continuo de Samsung en Tizen son el resultado del impulso de Google para integrarse en el centro del negocio móvil mientras presta atención a la idea del código abierto.

Al devolver toda la responsabilidad de las actualizaciones de seguridad a los operadores y a los investigadores de seguridad, Google les está diciendo a los OEM que pueden aceptar sus términos de licencia y cumplir, o asumir la responsabilidad de realizar actualizaciones de seguridad que normalmente no están calificados. o financiado para hacer. Es un truco digno de Microsoft en los malos viejos tiempos, y es particularmente divertido ver a la compañía haciendo esto, dado que echó a Microsoft debajo del autobús en diciembre cuando publicó los detalles completos de una falla de seguridad dos días antes de que Redmond lo parcheara. con el argumento de que la compañía de sistemas operativos de computadoras de escritorio y portátiles no se estaba moviendo lo suficientemente rápido.

Ahora lea: Google encuentra una vulnerabilidad crítica en SSL 3.0 llamada POODLE