La seguridad en Android es un tema muy importante.

Más sabiendo que millones de personas en todo el mundo lo utilizan todos los días. Hoy nos llega la noticia de un exploit que lleva meses sin solucionarse. En concreto Metasploit añadió un módulo para aprovecharse de una vulnerabilidad crítica con tan solo visitar una página web diseñada especialmente para hackear el sistema.

Vulnerabilidad crítica que afecta a millones de personas

La vulnerabilidad fue anunciada por un grupo chino en wooyun.org y el exploit en concreto ha sido desarrollado por los investigadores Joe Vennix (@joevennix) y Josh Drake (@jduck). Y afectaría en principio a aquellos con versiones anteriores a Android 4.2 Jelly Bean, que si nos atenemos al informe Android de Febrero, es más del 70% de los Android actuales.

Lo peor del caso es que esta vulnerabilidad lleva casi 100 días sin que nadie haya creado un parche para solucionarlo. Un problema que al ser a través de un módulo no forma parte del núcleo Android pero sí puede poner en riesgo nuestra seguridad.

Que las nuevas versiones Android sean invulnerables a este exploit en concreto no significa que no puedan serlo a otro tipo de vulnerabilidades. Aunque precisamente por eso siempre se recomienda también tener el dispositivo lo más actualizado posible.

El exploit solo necesita de unas cuantas pulsaciones de teclado para ejecutarse, una serie de acciones que pueden realizarse accidentalmente. La vulnerabilidad afecta a WebView en el que intervienen un código Javascript y Java que permite ejecutar códigos arbitrarios en el sistema simplemente visitando la web desde un navegador, una app, un código QR o cualquier tipo de anuncio o banner. Por lo que realmente es muy fácil caer en este tipo de exploit si clickamos sin querer donde no conviene.

Un parche que nunca llega

Repetimos, este tipo de problemas de seguridad deberían ser vigilados por Google más a fondo, pero claro, no solo a ellos les corresponde proteger al sistema operativo de ataques que aprovechan agujeros que no forman parte del propio código Android.

Los fabricantes deben tomar su parte de responsabilidad también en vigilar que sus dispositivos no contengan vulnerabilidades y sobretodo actualizar cuanto antes sus dispositivos para asegurarse así de que se han introducido todos los parches necesarios que Google sí ha introducido en las versiones matriz. Casi 3 meses de espera para encontrar una solución es inadmisible cuando está en juego nuestra seguridad.

¿Quién es el responsable de tomar cartas en el asunto? Dejando apartado el tema de los virus, ¿Está en peligro la seguridad de Android a través de estos añadidos?

Via Hispasec