Nos estamos acercando cada vez más al final de un año marcado por la presencia de múltiples vulnerabilidades que afectan el sistema operativo Android y, aunque la mayoría de estos errores no representan mayores riesgos para los usuarios, existen algunas excepciones peligrosas. Los especialistas en pruebas de vulnerabilidad mencionan que se revelaron tres fallas de seguridad en el Boletín de seguridad de Android de diciembre; Uno de estos errores se considera crítico, ya que el uso de un mensaje malicioso podría causar una condición permanente de denegación de servicio (DoS).
La actualización para corregir estos errores ya está disponible, la mala noticia es que no todos los dispositivos Android podrán actualizarse a esta última versión del sistema operativo, y no todos los usuarios reciben la actualización al mismo tiempo.
Las últimas semanas han sido algo desalentadoras en términos de seguridad para los usuarios de Android. Recientemente se informó de una vulnerabilidad que, si se explotaba, permitiría a un actor de amenazas tomar el control de un dispositivo de forma remota para activar la cámara y el micrófono y recopilar información de la víctima. Cientos de miles, o incluso millones de usuarios de Android permanecieron expuestos a esta falla hasta que se corrigió, como lo mencionaron los especialistas en pruebas de vulnerabilidad.
Posteriormente, se reveló que una actualización de Rich Communication Services (RCS) podría exponer a algunos usuarios de Android a explotar la vulnerabilidad «StrandHogg», lo que podría dar a los usuarios maliciosos acceso a mensajes de texto y contenido multimedia, además de la capacidad de extraer credenciales de inicio de sesión de usuario .
Se informó un total de tres vulnerabilidades en el Boletín de seguridad de Android de diciembre, entre las cuales CVE-2019-2232 se destaca como el más peligroso, mencionando que la validación incorrecta de «handleRun» podría provocar el cierre de la aplicación.
Explicado de otra manera, utilizando un mensaje especialmente diseñado, un actor de amenazas podría generar una condición permanente de denegación de servicio (DoS) en un dispositivo Android vulnerable, lo que podría conducir a la destrucción de todos los sistemas en el dispositivo. Como si eso no fuera suficiente, el ataque requiere una interacción mínima del usuario, además los hackers no necesitan privilegios de ejecución adicionales. La vulnerabilidad afecta a las versiones de Android 8, 8.1, 9 y 10.
Sin embargo, no todas son malas noticias, ya que Google anunció que las correcciones para CVE-2019-2232 y las otras dos vulnerabilidades encontradas en el sistema operativo ya están disponibles en el repositorio de Android Open Source Project (AOSP).
El mayor inconveniente es que no todos los usuarios de Android recibirán la actualización, además la disponibilidad de estas correcciones depende del fabricante del dispositivo, mencionan los especialistas en pruebas de vulnerabilidad. Los usuarios de Google Pixel tendrán actualizaciones antes que los usuarios de cualquier otra empresa.
Los usuarios de los dispositivos de terceros lanzados más recientemente, como el nuevo Samsung Galaxy, también podrán acceder a estas soluciones en breve, mientras que algunos usuarios de dispositivos más antiguos pueden no recibir ninguna actualización.
En caso de que su dispositivo no reciba este conjunto de actualizaciones, los especialistas en pruebas de vulnerabilidad del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la mejor alternativa es tratar de adquirir un modelo más nuevo, ya que aunque los dispositivos Android más antiguos no se detengan trabajando, es importante estar protegido contra las últimas amenazas de seguridad móvil.