Stagefright como el primer jinete del apocalipsis Android

La vulnerabilidad de Stagefright resultó ser más grave de lo previsto. Análisis de las acciones de Google y los fabricantes, ejemplo Windows – en este número bastante voluminoso del Gazebo.

android-malware-pit2

Con seguridad Android, hoy todo está lejos de ser tan seguro y hasta el momento no hay señales de movimiento para resolver el problema. El ecosistema no hace frente al mantenimiento de la seguridad y las cosas despegarán solo cuando sea demasiado tarde.

Inicialmente Android se concibió como una plataforma masiva. Google comenzó desde cero sin participación de mercado, por lo que la compañía estaba muy feliz de brindar a todos la capacidad de cambiar el sistema operativo a voluntad a cambio de distribuirlo a los dispositivos de los fabricantes. El discurso de marketing no fue creativo: 'Apple te restringe a un dispositivo (iPhone), porque Microsoft eres solo un cliente, pero en el caso de Android determinar cuál será el dispositivo final '. El código abierto Android permitió a cualquiera adaptar el sistema operativo a un hardware específico, y en teoría era posible que los OEM y los operadores modificaran Android o bifurcaran como quisieran.

Ahora Android ocupa el 75-80% del mercado mundial de teléfonos inteligentes y esto lo convierte en el sistema operativo más popular del mundo, no solo en este momento, sino en toda la historia de la industria de la electrónica móvil. En este sentido, la cuestión de la seguridad se plantea de forma aguda. Android todavía usa la misma secuencia de actualización de software que se desarrolló en un momento en que el ecosistema realmente no tenía nada que actualizar y que realmente no funciona. Demasiados actores: Google lanza Android para OEM, ellos realizan sus propios cambios y liberan código para operadores que también pueden cambiar partes del software, y luego se lanza un producto comercial.

Virus-Smartphone - Android

Como puede ver, el esquema concebido ha sido inutilizable durante mucho tiempo. Y la reacción del ecosistema a la vulnerabilidad de Stagefright es una confirmación más de cuán grave es la situación. Según estimaciones preliminares, alrededor del 95% de los dispositivos basados ​​en Android contienen un error que permite ejecutar código arbitrario remoto para recibir un MMS infectado de un video. Android tiene varios mecanismos de protección contra la pérdida de control de su teléfono inteligente, pero de todos modos da miedo. Como era de esperar, Google, Samsung y LG han anunciado un lanzamiento anticipado de una actualización de la política de seguridad para sus dispositivos como parte de la iniciativa 'Tome la seguridad en serio'. Este 'parche' cerrará la vulnerabilidad en el 2.6% de los dispositivos activos Android, este es el máximo que pueden lograr. El porcentaje representa la cantidad de dispositivos basados ​​en la versión 5.1 (en el momento de escribir este artículo, a principios de agosto, ahora esta cifra es del 7,9%) y es solo una suposición audaz para los dispositivos superiores y compatibles Android del mercado. En realidad, la cantidad de dispositivos que recibirán el parche será mucho menor.

Incluso teniendo en cuenta la posible activación de proveedores y la eliminación de la vulnerabilidad en todos los dispositivos con Android 5.1, seguirá habiendo un 92,4% de los dispositivos afectados por Stagefright. La estrategia de actualización gradual Android no se parece ni remotamente a algo adecuado para un sistema operativo con veinticuatro mil (!) Modelos individuales de dispositivos activos. En un mundo ideal, no actualizar millones de dispositivos potencialmente liberados sería razón suficiente para que Google, los OEM y los operadores se sienten a la mesa, dejen de lado sus estándares específicos de marca y las diferencias impuestas por el marketing y digan: 'Podemos arreglar esto '. Desafortunadamente, esto es una utopía. En el mundo real, los operadores y los fabricantes quieren tener sus herramientas de personalización en Android para poder anunciar sus aplicaciones. Parece que nadie quiere asumir la responsabilidad de proporcionar soporte posventa para los millones de dispositivos creados y vendidos.

En cierta etapa de familiarización con el problema, parece que, por seguridad Android, el día del juicio final llegará inevitablemente, como sucedió con el gusano Blaster, y que será el incentivo para una acción real para resolver el problema. Stagefright no es una broma, y ​​la respuesta del ecosistema Android es solo 2.6 / 100 de la respuesta requerida.

Vista lateral Windows

A todo el mundo le encanta comparar Android y iOS, pero tal comparación no es del todo justa dado el hecho de que tanto el software como el hardware iOS pertenecen a la misma empresa. . Microsoft Windows podría ser un modelo más comparable para el lanzamiento de un parche exitoso. El sistema es muy similar a Android en términos de diversidad de hardware, amplio soporte de proveedores y ubicuidad. Microsoft tiene un sistema operativo y un sistema operativo centralizados con los que ni los proveedores de servicios ni los fabricantes pueden interferir. Debido al hecho de que el soporte de hardware está separado del sistema operativo y nadie tiene derecho a realizar cambios en el sistema operativo, Microsoft tiene una base de código única para actualizar cada versión Windows, en este y existe un enfoque maduro para la implementación de actualizaciones. Este sistema de actualización rápida ha resistido constantes ataques de seguridad a lo largo de los años y, en este sentido, Windows es fundamentalmente diferente de Android.

La naturaleza completamente cerrada de las actualizaciones no funcionará para Android, este 'genio' no puede ocultarse en la 'botella', sin embargo, para eliminar la amenaza de seguridad actual, los fabricantes y operadores deben estar de acuerdo con un nivel más bajo de acceso al sistema. Los operadores deben tener un nivel limitado para aplicaciones personalizadas, al igual que los proveedores de servicios de PC. Los fabricantes, además de la restricción anterior, deben tener acceso al sistema de cambio de interfaz o cambio de skins, lo que les permitiría realizar su branding de interfaz favorito sin afectar al sistema operativo principal.

No todo va bien con el hardware. Android no tiene el mismo nivel de abstracción de hardware que x86, donde los controladores para el hardware pueden existir por separado del sistema operativo. ARM y Android todavía están trabajando en un modelo de sistema operativo integrado donde faltan controladores de dispositivo genéricos. Tal modelo haría que el soporte de cada actualización para cada dispositivo fuera una tarea abrumadora y probablemente requeriría soporte de Linux y ARM.

Además, es necesario disuadir firmemente a los fabricantes de su idea de un ciclo de actualización de dos años para teléfonos inteligentes para el usuario promedio. Según el estudio de fragmentación de Open Signal Android en 2015, el dispositivo Samsung más popular es el Galaxy S III de tres años, y de los 10 dispositivos más populares de la compañía, 6 dispositivos se lanzaron hace más de dos años, 2 no son buques insignia y no lo son. se actualizará a la última versión del sistema operativo. La dura realidad es que los fabricantes y operadores solo admiten los dispositivos que están a la venta, de ahí el plan de actualización de dos años. Samsung se apresurará a cerrar la vulnerabilidad en el S6, sin embargo, según el estudio antes mencionado, el teléfono inteligente solo ocupa el puesto 13 en el ranking. Para proteger realmente a los usuarios, la compañía necesita lanzar actualizaciones para el Galaxy S III, S4 y dispositivos más baratos como el Galaxy Grand Prime. De los 10 dispositivos principales, solo se ha lanzado un parche, el Galaxy S5, que (sorpresa, sorpresa) todavía está a la venta.

Microsoft, por el contrario, todavía está lanzando actualizaciones de seguridad para todas las versiones Windows desde Vista, que es aproximadamente el 86% de los usuarios. Los usuarios restantes ejecutan XP, que Microsoft aún ofrece actualizaciones de seguridad pagas después de una renovación de soporte gratuito de dos años. 8 años para los teléfonos inteligentes es, quizás, un poco demasiado, después de todo, hace 8 años que poca gente conocía Android, pero no hay nada reprobable en esforzarse por actualizar la política de seguridad del 85% de los dispositivos.

Los participantes del ecosistema Android no tienen creencias sólidas sobre cómo la seguridad puede dañar a otras ramas de los negocios de las empresas. Google y Samsung están tratando de ingresar al mercado corporativo (Android para el trabajo, Knox), pero la reputación Android en términos de seguridad podría jugar una mala pasada en ambas plataformas. Será difícil para las corporaciones tomar Android en serio cuando el sistema operativo está constantemente “brillando” en las noticias relacionadas con las vulnerabilidades.

Un camino espinoso por delante

Sin una solución real al problema, las empresas simplemente reparan los agujeros que encuentran. El entorno de prueba de la aplicación Android promete proteger contra las vulnerabilidades, la 'fortaleza' de Play Store protegerá a los usuarios de las aplicaciones infectadas, y los operadores están trabajando duro para bloquear los mensajes MMC infectados con Stagefright. Google, a su vez, lanzará todos los componentes nuevos para Google Play Services, pero algunos aspectos aún requerirán una actualización inalámbrica.

stagefright-2.0-800x420

En el ecosistema Android hay muy poco interés en los comentarios de los usuarios para esperar una solución Stagefright inmediata. Los operadores y los fabricantes no quieren ponerse del lado de los usuarios, y esta posición egoísta aún no ha tenido respuesta. Pero las consecuencias no están lejanas. Cuando llegue el 'día del juicio final', a los usuarios les importará un carajo la limitación en el lanzamiento del parche para el buque insignia hace dos años si su dispositivo deja de funcionar o se roba información.

Esto es lo que nos dijo un representante de Google, a quien contactamos para comentarios sobre el tema:

  • Por el momento, el 90% de los dispositivos basados ​​en Android utilizan tecnología ASLR, que puede proteger contra el problema
  • Lanzamos un parche para la línea Nexus y lo enviamos a los socios para proteger a los usuarios. Además, planeamos ponerlo a disposición del público.
  • La próxima versión de Messenger incluirá un parche que ayudará a eliminar la amenaza a nivel de la aplicación. Después de la actualización, el usuario deberá hacer clic en el video para reproducirlo. Recomendamos que los usuarios de dispositivos con versiones Android de Jellybean y superiores cambien de su aplicación de SMS predeterminada a nuestro producto.
  • En agosto, se lanzará un parche para los dispositivos más populares Android:
    • Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3,
      Nota 4, Nota 4 Borde
    • HTC Una M7, una M8, una M9
    • LG Electrónica G2, G3, G4
    • Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact
    • Android Uno

El principal problema es que las actualizaciones emblemáticas no son suficientes para proteger a la mayoría de los usuarios y todavía no existe una solución para el resto de dispositivos. El modelo de actualización Android no funciona y tienes que empezar desde cero para reconstruirlo. ¿Algunas ideas?

Material original de Ron Amadeo.

Elir: Flecha inteligente Las horas del fin del mundo Android se acercaron a la medianoche, al menos así es como se ve la situación. Google lanza parches, los fabricantes están tratando de cerrar la vulnerabilidad por sí mismos, los operadores están tomando medidas lo mejor que pueden, pero la escala de los eventos es tan grande que estas acciones no son concluyentes. Además, en el contexto de las últimas noticias, la nueva 'versión' de Stagefright ahora ataca a los teléfonos inteligentes al reproducir archivos MP3 infectados. No hay razón para entrar en pánico como tal, si no utiliza clientes no seguros para la mensajería y no descarga programas de fuentes no verificadas. Sin embargo, la inacción de las empresas, que debería hacer sonar la alarma primero, es algo alarmante. Seguiremos las novedades.

Rate article
Todo lo que necesita saber sobre los teléfonos inteligentes
Add a comment