146 nuevas vulnerabilidades vienen preinstaladas en los teléfonos Android


Cuando compra un teléfono inteligente Android, rara vez es Android puro. Los fabricantes introducen sus propias aplicaciones o le dan una nueva capa de interfaz. Los transportistas también lo hacen. El guiso resultante de software preinstalado y Android original a veces resulta ser rancio, lo que genera fallas y vulnerabilidades en el teléfono incluso antes de sacarlo de la caja. Para probar cuán grave es, no busque más allá de las 146 vulnerabilidades, en 29 fabricantes de teléfonos inteligentes Android, que acaban de ser reveladas simultáneamente.

Sí, eso es 146, todo descubierto por la empresa de seguridad Kryptowire y detallado uno por uno en una nueva revelación gigantesca. La mayoría de las empresas implicadas operan principalmente en Asia, pero la lista también incluye a los pesos pesados ​​globales como Samsung y Asus. Si bien los errores varían en severidad y alcance, y en algunos casos, los fabricantes discuten que son una amenaza, ilustran un problema endémico para Android, uno que Google ha reconocido.

Las vulnerabilidades que apareció Kryptowire, en una investigación financiada por el Departamento de Seguridad Nacional, abarcan todo, desde la grabación de audio no autorizada hasta la ejecución de comandos y la capacidad de modificar las propiedades del sistema y la configuración inalámbrica. Sin embargo, lo que los hace tan perniciosos es cómo se conectan a los teléfonos y lo difícil que es eliminarlos.

«Queríamos entender lo fácil que es para alguien poder penetrar en el dispositivo sin que el usuario descargue una aplicación», dice el CEO de Kryptowire, Angelos Stavrou. “Si el problema se encuentra dentro del dispositivo, eso significa que el usuario no tiene opciones. Debido a que el código está profundamente enterrado en el sistema, en la mayoría de los casos el usuario no puede hacer nada para eliminar la funcionalidad ofensiva «.

Una cosa es que caigas en una descarga sombría de Fortnite . Al menos esa fue una elección que hiciste, y también puedes desinstalarla. Las vulnerabilidades encontradas por Kryptowire a menudo están preinstaladas a nivel de sistema, sin forma de purgarlas de su dispositivo.

«En la carrera por crear dispositivos baratos, creo que la calidad del software se está erosionando de una manera que expone al usuario final». Angelos Stavrou, Kryptowire

Si todo esto suena vagamente familiar, es porque Kryptowire ha estado en este camino antes. Hace poco más de un año, reveló los resultados de una ronda de investigación similar que encontró esta misma clase de defectos integrados en 10 dispositivos Android populares. La diferencia ahora, y la razón por la que el trabajo es mucho más completo, es que el equipo ha creado una herramienta que escanea el firmware en busca de problemas, incluso si no tienen el dispositivo físicamente en la mano. El sistema de Kryptowire crea automáticamente una prueba de concepto, en cuestión de minutos, que valida la existencia de la vulnerabilidad y reduce los falsos positivos. La herramienta busca «estados inseguros», como dice Stavrou, que permitirían a una aplicación tomar una captura de pantalla o grabar audio o crear una conexión de red cuando no debería.

El problema a menudo se reduce a la confianza. Muchas de las vulnerabilidades que Kryptowire encontró permiten que las aplicaciones hagan cosas como cambiar la configuración sin su conocimiento o consentimiento.

«Creemos que, si usted es un proveedor, no debe confiar en que nadie más tendrá el mismo nivel de permisos que usted dentro del sistema», dice Stavrou. «Esto no debería ser algo automático».

«Apreciamos el trabajo de la comunidad de investigación que colabora con nosotros para solucionar y revelar de manera responsable problemas como estos», dijo Google en un comunicado. Google tiene su propio proceso de verificación, llamado Build Test Suite, que verifica el software para detectar aplicaciones preinstaladas potencialmente dañinas. BTS se lanzó en 2018, y en su primer año evitó que 242 de esas instalaciones problemáticas llegaran a los consumidores.

La investigación de Kryptowire sugiere que BTS tiene margen de mejora. Para ser justos, es un problema de enorme alcance. Según una presentación sobre este mismo tema dada este verano por el investigador de seguridad de Google Maddie Stone, cada dispositivo Android se entrega con 100 a 400 aplicaciones preinstaladas. Muchas de esas aplicaciones provienen no de la compañía que fabrica el dispositivo físico, sino de terceros que proporcionan el código para varias tareas ocultas, o de operadores que tienen un interés personal en todo, desde mensajes hasta pagos. La mayoría de los fabricantes están mal equipados para analizar todas esas aplicaciones en busca de riesgos potenciales, e incluso las más grandes aún permiten algún tipo de influencia del operador.

“El ecosistema involucra a cientos de proveedores que no necesariamente cooperan entre sí o que no tienen ningún proceso para garantizar la calidad. O podrían, pero algunos de ellos tienen más que otros «, dice Stavrou. «Y en la carrera por crear dispositivos baratos, creo que la calidad del software se está erosionando de una manera que expone al usuario final».

Kryptowire comenzó el largo proceso de notificar a Google y a los 29 fabricantes de sus hallazgos durante el verano. No todos los afectados están de acuerdo en que los hallazgos son tan preocupantes. Kryptowire reveló 33 vulnerabilidades en dispositivos Samsung, derivadas de seis aplicaciones preinstaladas. (También encontró errores en dos aplicaciones adicionales, pero solo estaban presentes en las imágenes de firmware en las que los malos actores habían inyectado malware y no se incluyeron en el informe final).

Dos de esos seis fueron desarrollados por socios externos; Aunque todavía afectan a los dispositivos Samsung, el gigante de la electrónica de consumo dirigió a los investigadores a esas otras compañías. En cuanto a los cuatro restantes, Samsung argumenta que el marco de seguridad de Android más amplio los hace inofensivos. «Desde que Kryptowire nos notificó, hemos investigado rápidamente las aplicaciones en cuestión y hemos determinado que las protecciones apropiadas ya están en su lugar», dijo Samsung en un comunicado.

Kryptowire no está de acuerdo. «Las aplicaciones de Samsung pueden ser utilizadas por actores de la cadena de suministro de terceros para obtener acceso a la información sin revelarla o requerir permisos», dice Tom Karygiannis, vicepresidente de producto de la compañía. «El diseño actual del marco de seguridad de Android no impide que eso suceda hoy».

Al menos Samsung tiene los recursos para investigar las vulnerabilidades reportadas. Muchos fabricantes de Android no ofrecen una ruta clara para informar errores o parchearlos cuando se encuentran. Fuera de la propia línea de píxeles de Google y de un puñado de fabricantes con buenos recursos, las actualizaciones de seguridad tardan en llegar a los dispositivos Android incluso en las mejores circunstancias. Cuando esos defectos provienen del código de otra persona, bueno, buena suerte.

Si hay un lado positivo aquí, es que Google ha tomado medidas proactivas para acabar con el problema de los errores preinstalados. Pero como muestra el barrido de Kryptowire, el ecosistema general tiene un largo camino por recorrer.


Información Extraída de:

Prensa Digital Secure Week (secureweek.com)

https://www.secureweek.com/146-nuevas-vulnerabilidades-vienen-preinstaladas-en-los-telefonos-android/

© 2020 ODICANARIAS | Todos los derechos reservados.

 Tenerife - Gran Canaria - La Gomera - El Hierro - La Palma - Lanzarote - Fuerteventura - Islas Canarias