• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / com.android.vulnerable.indefinidamenteSiInferiorAKitKat

com.android.vulnerable.indefinidamenteSiInferiorAKitKat

14 enero, 2015 Por Hispasec 9 comentarios

Los usuarios de Android van a tener un motivo más para preocuparse por la seguridad de sus dispositivos: Google no va a desarrollar más parches de seguridad para las versiones inferiores a la 4.4 ‘KitKat‘. 
Esa fue la respuesta que recibieron, por parte del equipo de seguridad de Android, investigadores independientes, cuando enviaron una nueva vulnerabilidad encontrada en el componente WebView que afectaba a versiones anteriores a ‘KitKat‘.
Sorprende bastante. ‘Jelly Bean‘, la versión inmediatamente anterior a ‘KitKat‘, tuvo su última actualización en octubre de 2013, mientras que el sistema fue presentado y lanzado en julio de 2012. Esto nos daría un tiempo de soporte relativamente pequeño en comparación con el ciclo de vida de un sistema operativo de escritorio. Si bien es cierto que el ecosistema móvil evoluciona con mayor velocidad (¿Cuánto haces que renovaste el móvil? ¿Y el PC?) que el escritorio, muchos dispositivos se quedan anclados en versiones «obsoletas» del sistema con apenas un par de años desde que salen de su caja.
Vamos a ponerles cifra a esa parte del pastel que van a comerse las moscas. Según la propia Google, ‘KitKat‘, el sistema aun soportado, representa el 39,1% de la base de usuarios de Android. El resto son versiones anteriores sin soporte directo, lo cual se traduce en millones de dispositivos vulnerables, 930 millones en cifras del investigador Tod Beardsley de Metasploit. 
Sigamos con Tod, interlocutor en este caso con el equipo de seguridad de Android y quien expuso la respuesta que le ofrecieron desde Google. Beardsley, uno de los desarrolladores más activos de Metasploit, comenta en el blog de Rapid7 como solo Metaploit, suite de explotación de vulnerabilidades, contiene hasta 11 exploits orientados a sacar partido a distintos fallos documentados en el componente WebView. Este componente, del que hemos hablado varias veces en Una-al-Día, permite incrustar contenido web en cualquier aplicación Android nativa sin necesidad de que el usuario tenga que abrir un enlace en el navegador web.
WebView se basa en el motor WebKit para «dibujar» el contenido web. WebKit posee un espectacular historial de errores de seguridad que arrastra a cada aplicación o componente software que hereda su funcionalidad, a eso añádase los fallos propios del software que haga uso de WebKit (el caso de WebView). Google ya incluía WebKit hasta la versión 28 de Chrome, siendo reemplazado por «cuestiones técnicas» por el motor de renderizado Blink, fork de WebKit promovido por Google y Opera. A partir de ‘KitKat‘ WebView se apoya en Chrome para generar el contenido web, motivo en parte por el cual las vulnerabilidades en WebView afectan a versiones anteriores a ‘KitKat‘.
Vamos a quitarle algo de hierro a las doscientas toneladas de inseguridad que tenemos en ciernes matizando la repuesta. Google no se niega a publicar más parches para versiones antes de ‘KitKat‘, simplemente no va a desarrollarlos salvo en el caso de «…otros componentes, como por ejemplo reproductores multimedia…«. Esto quiere decir que salvo que el parche les llegue de un tercero no van a mover un dedo para echar tierra en el agujero. O eso o esperar a que sea el propio fabricante el que produzca y publique un parche para sus usuarios.
Android representa un paradigma abierto respecto de otras soluciones cerradas como iOS. El código es abierto, compartido y usado por terceros como sistemas para el hardware que producen. Es un interesante juego de tensiones e intereses, Google ha dejado parte de la pelota en el terreno de los fabricantes, a los que quizás les pide más apoyo y compartir responsabilidad a la hora de dejar a los usuarios expuestos.
Por otro lado queda el sentimiento de abandono y obsolescencia prematura que pueden sentir los usuarios a los que les toca la parte rancia de la tarta que representa más del 60%. Una porción que puede llegar a costarles una indigestión.
  
Más información:
Platform Versions
http://developer.android.com/about/dashboards/index.html#Platform
Google No Longer Provides Patches for WebView Jelly Bean and Prior
https://community.rapid7.com/community/metasploit/blog/2015/01/11/google-no-longer-provides-patches-for-webview-jelly-bean-and-prior
David García
dgarcia@hispasec.com

Twitter: @dgn1729

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Comentarios

  1. Ignacio Agulló dice

    15 enero, 2015 a las 2:14 pm

    Pensaba que la Unión Europea había promulgado una directiva en la que se exigía que los fabricantes de dispositivos dieran soporte durante un mínimo de años, incluyendo sistemas operativos. He buscado en la red pero de momento no he encontrado referencias. ¿Alguien recuerda esto?

    Responder
  2. Anónimo dice

    15 enero, 2015 a las 3:54 pm

    Aquí se ve la intención de Google, que le da igual la seguridad del usuario, tanto a fabricante hard (samsung etc.) y soft (google-android) les interesa vender aparatos cómo mucho que nos los quedemos 2 años.

    Responder
  3. Luis Humberto Balam Gonzalez dice

    15 enero, 2015 a las 4:13 pm

    Me enoja la actitud de google, es cierto que la evolución en el mundo móvil es rápido, pero debido a que las nuevas versiones del SO piden más requerimientos, muchos (muchos…) dispositivos de gama baja están basado en versiones antiguas de Android… y SO como Firefox no son opción ni soñando. y si alguien sale diciendo que la ventaja es que es OpenSource es porque no ha visto más código del que pegan en pastebin :/

    Responder
  4. Anónimo dice

    15 enero, 2015 a las 4:23 pm

    Y bueno, ya que la manzanita esperaba uba oportunidad para darle un buen mordisco a Android, Google se la dio servida en bandeja. 😉

    Responder
  5. Anónimo dice

    15 enero, 2015 a las 4:27 pm

    Como postee, anteriormente, Google le dio la oportunidad servida en bandeja a Apple; si estos lanzan un celular accesible, matan a las demás compañias y al S.O. Android. Mas si el celular se usa para transacciones comerciales!!

    Responder
  6. Juanita dice

    15 enero, 2015 a las 7:40 pm

    Este comentario ha sido eliminado por un administrador del blog.

    Responder
  7. Vlado dice

    16 enero, 2015 a las 10:39 am

    Pues nada, habrá que empezar a pensar en usar otros sistemas que no sean Android y que tengan algo más en cuenta a sus usuarios…

    Responder
  8. Anónimo dice

    27 enero, 2015 a las 12:12 pm

    Tienes android 5, no? El problema no es Adnroid, si no los fabricantes. Android actualiza, si , ha actualizado de 4.4 KitKat a android 5 Lollipop. el problema es que no haya cierto soporte para determinados dispositivos, pues la culpa es de las compañias y no de android. Yo tengo un Nexus 4 desde hace 3 años y todavía tengo soporte.

    Responder
  9. Anónimo dice

    27 enero, 2015 a las 12:54 pm

    Me sorprende el desconocimiento de todos los que aportan comentarios. Es que el problema no es de Google, es de los fabricantes que no actualizan.

    A día de hoy, la ultima versión de Android es la 5.0.2, así que SÍ, Google actualiza Android. El problema no es Google, son los fabricantes como HTC, Samsung, etc, que no actualizan los SO.

    Lo que no es normal es que todavía haya dispositivos como las gamas Samsung Galaxy que estén con Jelly Bean. Pero es que el problema no es de Google, es de Samsumg que no lo actualiza.

    Si queréis Androids con soporte de verdad compraros un Nexus.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR