Como es habitual todos los meses, las principales desarrolladoras de software lanzan una serie de parches de seguridad con los que solucionar todos los fallos y vulnerabilidades detectados durante el último mes. En esta ocasión ha sido el turno de Google, quien ha lanzado sus boletines de seguridad para Android de febrero de 2017 en los que ha solucionado, ni más ni menos, que 58 fallos de seguridad, la mayoría de ellas graves y que pueden llegar incluso a convertir los smartphones vulnerables en pisapapeles.

De los 58 fallos de seguridad que ha solucionado la compañía, los dos que podemos considerar más importantes son CVE-2017-0406 y CVE-2017-0407. Estos fallos están, una vez más, relacionados con el componente Mediaserver de Android y pueden permitir a un atacante ejecutar código remoto en el sistema con permisos de superusuario.

Otras de las vulnerabilidades críticas que han sido solucionadas por Google en estos nuevos parches de seguridad de Android son:

• CVE-2017-0409, un fallo en la librería libstagefright que puede permitir a un atacante ejecutar código remoto en el sistema.
• CVE-2017-0415, un fallo más en Mediaserver que permite ganar privilegios dentro de Android.
• CVE-2016-8418, un fallo en los controladores criptográficos de Qualcomm que permite ejecutar código con permisos de root.

De los 58 parches de seguridad, 19 están relacionados con Qualcomm, uno de los pilares más débiles del sistema operativo y que Google no hace más que poner parche tras parche en lugar de investigar y lanzar una solución permanente.

Por motivos de seguridad, aún no se ha publicado la información técnica de muchos de los fallos, aunque podemos verlos en detalle desde el siguiente enlace.

Varias vulnerabilidades de Android que pueden llegar a hacer brick a nuestro smartphone y dejarlo inservible

Aunque no es muy frecuente, estos parches de seguridad también solucionan una serie de vulnerabilidades muy serias que, si son explotadas por un pirata informático, pueden llegar incluso a hacer que nuestro dispositivo quede totalmente inutilizable al dañar el Kernel de Android.

Dos de estos fallos, para variar, se encuentran en los controladores Qualcomm. CVE-2017-0430 y CVE-2017-0431. Además de ellos, también se ha solucionado un fallo que llevaba presente desde 2014 en el Kernel Linux que también podía convertir nuestro teléfono en un pisapapeles caro, CVE-2014-9914, y un fallo en el sistema de archivos de Android que, igualmente, puede causar brick al smartphone, CVE-2017-042.

Estos fallos pueden dejar inservible cualquier dispositivo Android, sin embargo, Google solo ha lanzado los parches para sus propios dispositivos Nexus y Pixel. Los usuarios de estos dispositivos que instalen estos parches quedarán protegidos, sin embargo, el resto de usuarios quedarán expuestos hasta que llegue, si es que llega, la actualización a sus smartphones.

¿Qué pasa con Google y la seguridad de Android?

Es cierto que la seguridad de Android nunca ha sido uno de los pilares base del sistema operativo, sin embargo, en lugar de ir a mejor parece que cada vez vamos a peor. Google aún se encuentra solucionando vulnerabilidades en su sistema operativo registradas hace cerca de 3 años y, además, solo se preocupa por sus propios dispositivos, dejando abandonados a los poseedores de smartphones de otros fabricantes.

En lugar de aprovechar todo el ecosistema de Google Services para distribuir parches básicos para su sistema operativo, la compañía sigue lanzando parches para sus propios usuarios a través de su sistema arcaico y, sin ejercer ninguna presión, confía en que los fabricantes actualicen sus dispositivos. Y sí lo hacen, pero igual estos parches de seguridad de febrero a algunos usuarios les llegan en septiembre, y con suerte.

A esto debemos sumarle, como podemos leer en el artículo anterior, a la gran cantidad de aplicaciones maliciosas que aparecen en la Play Store y que han conseguido evadir todos los sistemas de seguridad de la compañía. Eso sí, no intentes publicar una aplicación OpenSource porque te la echarán para atrás. Google prefiere, como podemos ver, las aplicaciones de pago o plagadas de publicidad (incluso el adware) antes que las aplicaciones gratuitas y de código abierto, ya que, al final, es lo que le genera beneficio.

¿Qué opinas sobre la seguridad de Android?