Uno de los grandes problemas del ecosistema de Android sigue siendo el hecho de que los teléfonos y las tabletas se actualizan lentamente (o incluso nunca).
Para empeorar las cosas, Security Research Labs descubrió que algunos fabricantes de teléfonos inteligentes mienten sobre parches. Hacen creer a los usuarios que el firmware de su teléfono está completamente actualizado, mientras que se saltan silenciosamente los parches. En algunos casos, una «actualización» simplemente cambia la fecha sin instalar ningún parche real.
“El viernes en la conferencia de seguridad Hack in the Box en Amsterdam, los investigadores Karsten Nohl y Jakob Lell de la firma Security Research Labs presentaron los resultados de dos años de ingeniería inversa y cientos de códigos de sistema operativo de teléfonos Android, comprobando minuciosamente si cada uno dispositivo en realidad contenía los parches de seguridad indicados en su configuración. Encontraron lo que llaman «patch gap«: en muchos casos, los teléfonos de ciertos proveedores les decían a los usuarios que tenían todos los parches de seguridad de Android hasta cierta fecha, mientras que en realidad faltaban hasta una docena de parches de ese período. dejando los teléfonos vulnerables a una amplia colección de técnicas de piratería conocidas.”
«Encontramos que hay una brecha entre el nombre del parche y los parches reales instalados en un dispositivo. Es pequeño para algunos dispositivos y bastante significativo para otros», dice Nohl, un conocido investigador de seguridad y fundador de SRL. En el peor de los casos, dice Nohl, los fabricantes de teléfonos Android tergiversaron intencionalmente cuando se reparó el dispositivo por última vez. «A veces estos tipos simplemente cambian la fecha sin instalar ningún parche. Probablemente por razones de marketing, simplemente establecen el nivel del parche en una fecha casi arbitraria, lo que se vea mejor».
Fuente: Wired
