Cada cierto tiempo nos llega noticia de que una nueva vulnerabilidad en Android, y cuyo aspecto más peligroso no es la vulnerabilidad en sí, sino el tiempo que tarda en ser corregido, debido a la usual debacle en actualizaciones en el sistema operativo de Google. Y esta vez, la vulnerabilidad descubierta no es ninguna excepción, como hemos podido ver a través de NPR, la Radio Nacional Pública de EEUU, con una ejecución absurdamente simple pero que potencialmente podría ser muy peligroso para nosotros.
Descubierta dicha vulnerabilidad por Joshua Drake, investigador de seguridad en Zimperium (una reputada firma de seguridad móvil), entre el pasado mes de abril y mayo, ésta sería a través de un vídeo corto (como los que enviamos a diario a través de WhatsApp o Telegram) con malware en su interior, el cual se aprovecharía del exploit en Android en el momento de llegar al smartphone de la víctima. "Pasaría incluso antes de oír el sonido del mensaje recibido. Eso es lo que lo hace tan peligroso", afirma Drake.
Drake también afirma que aunque el riesgo es mayor en Hangouts que en la app de mensajería por defecto, debido a que Hangouts procesa el vídeo para que el usuario no tenga que hacerlo poniéndonos así en riesgo, en ningún momento hace falta abrir el archivo para que suframos el exploit: ya con recibirlo el smartphone se encuentra en peligro. Además, lo verdaderamente preocupante de esto es que, a pesar de que Google ya recibió y aceptó el fix enviado por el propio Drake, el problema es el de siempre: como hacer llegar ese fix a los más de mil millones de dispositivos Android existentes.
Que sólo un 50% de dispositivos Android como máximo recibirán el fix es suficiente para ver que este problema de updates ha de ser corregido.
"Siendo optimistas, entre el 20% y el 50% de dispositivos Android recibirán el fix" afirma Drake, y este dato es demoledor, poniendo en evidencia una vez más el descontrol existente para que las versiones actualizadas lleguen a todos los Android por igual, y cuyo principal culpable no es Google, sino las OEM encargadas de portar sus versiones customizadas, así como las operadoras que frenan aún más el proceso. En cuanto a la cuestión de si estamos en riesgo o no, Drake cree que los hackers no están haciendo uso de esta vulnerabilidad, al menos de momento. Esperemos que los fabricantes y Google se pongan de acuerdo para alcanzar un acuerdo cuanto antes, porque esto nos pone en riesgo a todos.