miércoles, 14 de enero de 2015

com.android.vulnerable.indefinidamenteSiInferiorAKitKat

Los usuarios de Android van a tener un motivo más para preocuparse por la seguridad de sus dispositivos: Google no va a desarrollar más parches de seguridad para las versiones inferiores a la 4.4 'KitKat'. 

Esa fue la respuesta que recibieron, por parte del equipo de seguridad de Android, investigadores independientes, cuando enviaron una nueva vulnerabilidad encontrada en el componente WebView que afectaba a versiones anteriores a 'KitKat'.

Sorprende bastante. 'Jelly Bean', la versión inmediatamente anterior a 'KitKat', tuvo su última actualización en octubre de 2013, mientras que el sistema fue presentado y lanzado en julio de 2012. Esto nos daría un tiempo de soporte relativamente pequeño en comparación con el ciclo de vida de un sistema operativo de escritorio. Si bien es cierto que el ecosistema móvil evoluciona con mayor velocidad (¿Cuánto haces que renovaste el móvil? ¿Y el PC?) que el escritorio, muchos dispositivos se quedan anclados en versiones "obsoletas" del sistema con apenas un par de años desde que salen de su caja.

Vamos a ponerles cifra a esa parte del pastel que van a comerse las moscas. Según la propia Google, 'KitKat', el sistema aun soportado, representa el 39,1% de la base de usuarios de Android. El resto son versiones anteriores sin soporte directo, lo cual se traduce en millones de dispositivos vulnerables, 930 millones en cifras del investigador Tod Beardsley de Metasploit

Sigamos con Tod, interlocutor en este caso con el equipo de seguridad de Android y quien expuso la respuesta que le ofrecieron desde Google. Beardsley, uno de los desarrolladores más activos de Metasploit, comenta en el blog de Rapid7 como solo Metaploit, suite de explotación de vulnerabilidades, contiene hasta 11 exploits orientados a sacar partido a distintos fallos documentados en el componente WebView. Este componente, del que hemos hablado varias veces en Una-al-Día, permite incrustar contenido web en cualquier aplicación Android nativa sin necesidad de que el usuario tenga que abrir un enlace en el navegador web.

WebView se basa en el motor WebKit para "dibujar" el contenido web. WebKit posee un espectacular historial de errores de seguridad que arrastra a cada aplicación o componente software que hereda su funcionalidad, a eso añádase los fallos propios del software que haga uso de WebKit (el caso de WebView). Google ya incluía WebKit hasta la versión 28 de Chrome, siendo reemplazado por "cuestiones técnicas" por el motor de renderizado Blink, fork de WebKit promovido por Google y Opera. A partir de 'KitKat' WebView se apoya en Chrome para generar el contenido web, motivo en parte por el cual las vulnerabilidades en WebView afectan a versiones anteriores a 'KitKat'.

Vamos a quitarle algo de hierro a las doscientas toneladas de inseguridad que tenemos en ciernes matizando la repuesta. Google no se niega a publicar más parches para versiones antes de 'KitKat', simplemente no va a desarrollarlos salvo en el caso de "…otros componentes, como por ejemplo reproductores multimedia…". Esto quiere decir que salvo que el parche les llegue de un tercero no van a mover un dedo para echar tierra en el agujero. O eso o esperar a que sea el propio fabricante el que produzca y publique un parche para sus usuarios.

Android representa un paradigma abierto respecto de otras soluciones cerradas como iOS. El código es abierto, compartido y usado por terceros como sistemas para el hardware que producen. Es un interesante juego de tensiones e intereses, Google ha dejado parte de la pelota en el terreno de los fabricantes, a los que quizás les pide más apoyo y compartir responsabilidad a la hora de dejar a los usuarios expuestos.

Por otro lado queda el sentimiento de abandono y obsolescencia prematura que pueden sentir los usuarios a los que les toca la parte rancia de la tarta que representa más del 60%. Una porción que puede llegar a costarles una indigestión.
  
Más información:

Platform Versions

Google No Longer Provides Patches for WebView Jelly Bean and Prior


David García

Twitter: @dgn1729

9 comentarios:

  1. Pensaba que la Unión Europea había promulgado una directiva en la que se exigía que los fabricantes de dispositivos dieran soporte durante un mínimo de años, incluyendo sistemas operativos. He buscado en la red pero de momento no he encontrado referencias. ¿Alguien recuerda esto?

    ResponderEliminar
  2. Aquí se ve la intención de Google, que le da igual la seguridad del usuario, tanto a fabricante hard (samsung etc.) y soft (google-android) les interesa vender aparatos cómo mucho que nos los quedemos 2 años.

    ResponderEliminar
  3. Me enoja la actitud de google, es cierto que la evolución en el mundo móvil es rápido, pero debido a que las nuevas versiones del SO piden más requerimientos, muchos (muchos...) dispositivos de gama baja están basado en versiones antiguas de Android... y SO como Firefox no son opción ni soñando. y si alguien sale diciendo que la ventaja es que es OpenSource es porque no ha visto más código del que pegan en pastebin :/

    ResponderEliminar
    Respuestas
    1. Como postee, anteriormente, Google le dio la oportunidad servida en bandeja a Apple; si estos lanzan un celular accesible, matan a las demás compañias y al S.O. Android. Mas si el celular se usa para transacciones comerciales!!

      Eliminar
  4. Y bueno, ya que la manzanita esperaba uba oportunidad para darle un buen mordisco a Android, Google se la dio servida en bandeja. ;)

    ResponderEliminar
  5. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  6. Pues nada, habrá que empezar a pensar en usar otros sistemas que no sean Android y que tengan algo más en cuenta a sus usuarios...

    ResponderEliminar
    Respuestas
    1. Tienes android 5, no? El problema no es Adnroid, si no los fabricantes. Android actualiza, si , ha actualizado de 4.4 KitKat a android 5 Lollipop. el problema es que no haya cierto soporte para determinados dispositivos, pues la culpa es de las compañias y no de android. Yo tengo un Nexus 4 desde hace 3 años y todavía tengo soporte.

      Eliminar
  7. Me sorprende el desconocimiento de todos los que aportan comentarios. Es que el problema no es de Google, es de los fabricantes que no actualizan.

    A día de hoy, la ultima versión de Android es la 5.0.2, así que SÍ, Google actualiza Android. El problema no es Google, son los fabricantes como HTC, Samsung, etc, que no actualizan los SO.

    Lo que no es normal es que todavía haya dispositivos como las gamas Samsung Galaxy que estén con Jelly Bean. Pero es que el problema no es de Google, es de Samsumg que no lo actualiza.

    Si queréis Androids con soporte de verdad compraros un Nexus.

    ResponderEliminar