Google
ha publicado el boletín de seguridad Android
correspondiente al mes de febrero en el que corrige un total de 58 vulnerabilidades, 10 de ellas
calificadas como críticas.
Como es habitual, Google divide
las vulnerabilidades corregidas en dos bloques principales en función de los
componentes afectados. En el nivel de parches de seguridad 2017-02-01
("2017-02-01 security patch level") se encuentran los que afectan al
núcleo de servicios Android, controladores y componentes que todos los
fabricantes de smartphones Android deberían incluir con mayor prioridad.
En este bloque se solucionan 23
vulnerabilidades, dos de ellas se consideran críticas y podrían permitir la
ejecución remota de código a través de Surfaceflinger o de mediaserver. Otras 16
de ellas son de gravedad alta y otras cuatro de importancia moderada.
Por otra parte en el nivel de
parches de seguridad 2017-01-05 ("2017-01-05 security patch level")
se incluyen vulnerabilidades en controladores y componentes incluidos solo por
algunos fabricantes en sus versiones de Android. En este bloque se solucionan 35
fallos en subsistemas del kernel, controladores y componentes OEM. Siete de las
vulnerabilidades están consideradas críticas, 23 de gravedad alta y cinco de
riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.
Los problemas críticos podrían permitir
la ejecución remota de código a través del controlador crypto de Qualcomm, o
elevaciones de privilegios en el sistema de archivos del kernel, en el
controlador GPU NVIDIA, en el subsistema de red del kernel o en el controlador Wi-Fi
de Broadcom.
A pesar de las actualizaciones de
Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus,
los propios de Google. Es destacable el esfuerzo realizado por otros
fabricantes, como Samsung o Blackberry, que también están aplicando las
actualizaciones con periodicidad. En otros casos, la actualización también
incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de
actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la
mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse
muchos meses desde su publicación por parte de Google. Por ello, como ya hemos
comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los
puntos débiles de Android.
Más información:
Android Security Bulletin—February 2017
Antonio Ropero
Twitter: @aropero