Galaxy S6

Project Zero caza a Galaxy, Samsung responde con ocho arreglos

Cualquier vulnerabilidad de Android encontrada en teléfonos inteligentes populares y reportada en la prensa naturalmente hace que todos miren en la dirección de Google. ¿Qué les pasa a esos ingenieros de Android?

La situación no es tan sencilla. La mayoría de los dispositivos Android no están fabricados por Google, sino por OEM (fabricantes de equipos originales). Android puede ser la base, pero el código adicional introducido puede ser vulnerable. Además, los fabricantes de equipos originales deciden la frecuencia de las actualizaciones de seguridad que se proporcionan a los operadores para sus dispositivos.

Un estudio de la Universidad de Cambridge en octubre encontró que más de la mitad de los dispositivos Android eran inseguros y el estudio señaló de manera similar una dificultad debido a la falta de actualizaciones de algunos OEMS. El estudio clasificó los dispositivos Nexus como los más seguros.

“Con el 87 por ciento de los dispositivos marcados como inseguros en un día determinado, el estudio realmente muestra hasta dónde tiene que llegar el ecosistema de Android para proteger a sus usuarios”, escribió Ron Amadeo en ArsTechnica. “Google y algunos fabricantes de equipos originales se han comprometido con un programa de actualización de seguridad mensual, pero eso suele ser para dispositivos que tienen menos de dos años (Google recientemente aumentó los dispositivos Nexus a tres años) y solo para dispositivos insignia. La gran mayoría de las ventas de Android son no dispositivos insignia. Hasta que Google rediseñe Android para admitir actualizaciones centralizadas independientes del dispositivo, simplemente no vemos una solución a los problemas de seguridad de Android “.

Vlad Savov y El borde Se hizo eco de manera concisa de una preocupación sobre Android: “Google no controla el software final que la mayoría de la gente usa y experimenta, y no tiene los medios para proteger cada uno de los 1.400 millones de dispositivos Android en uso activo en la actualidad”.

Natalie Silvanovich, del equipo de Project Zero en Google, con la tarea de buscar fallas de seguridad informática previamente desconocidas, escribió en su blog sobre los hallazgos recientes del equipo. Los miembros del equipo de Project Zero habían realizado una búsqueda de errores recientemente usando el teléfono Galaxy S6 Edge de Samsung.

¿Por qué la caza? Silvanovich dijo que ya habían pasado por sus propios dispositivos Nexus; ahora querían ver qué tan diferente sería atacar un dispositivo OEM.

El resto fue noticia de esta semana: encontraron 11 problemas que necesitaban atención. La razón por la que fueron tras el teléfono Galaxy no fue para evaluar que se trataba de una marca y modelo con errores, sino porque es un teléfono de gama alta que tiene una gran cantidad de usuarios.

Hardware caliente describió cómo llevaron a cabo su plan: se dieron una semana para erradicar las vulnerabilidades. Incluso hicieron un concurso de eso. Los participantes norteamericanos compitieron con participantes de Europa.

Trabajaron en desafíos tales como: Obtener acceso remoto a contactos, fotos y mensajes; obtener acceso a contactos, fotos, geolocalización, etc. desde una aplicación instalada desde Play sin permisos; persistir en la ejecución del código a través de un borrado de dispositivo.

“Sus esfuerzos dieron como resultado el descubrimiento de 11 vulnerabilidades”, dijo Hardware caliente.

Además de ver qué tipo de errores encontrarían, también estaban ansiosos por ver qué tan rápido se resolverían los errores cuando los informaran.

Silvanovich dijo que el equipo informó los problemas a Samsung y Samsung respondió, indicando que solucionaron ocho de los problemas en su versión de mantenimiento de octubre, y los problemas restantes se solucionarán este mes. “Apreciamos enormemente sus esfuerzos para solucionar estos problemas”, afirmó.

En cuanto a los tres problemas restantes que se solucionarán este mes, dijo que “afortunadamente, estos parecen ser problemas de menor gravedad”.

Con todo, sí, encontraron problemas en su expedición de búsqueda de errores y, para responder a su pregunta sobre los tiempos de respuesta de los OEM, sí, Samsung es una empresa que respondió con prontitud. “Es prometedor que los problemas de mayor gravedad se hayan solucionado y actualizado en el dispositivo en un período de tiempo razonable”, dijo.

Samsung, informó Hardware caliente, “implementó soluciones para ocho de las 11 vulnerabilidades, que Project Zero confirmó al volver a probar un Galaxy S6 Edge actualizado”.

Reacciones del lector en Hardware caliente incluyó publicaciones que expresaban satisfacción por una respuesta oportuna. “Una acción bastante rápida allí, por supuesto que se espera en los teléfonos insignia de gama alta”.

Otra respuesta del lector fue: “Este esfuerzo colectivo es refrescante y los usuarios solo pueden beneficiarse de una informática más segura. Las personas con dispositivos más antiguos deberían recibir incentivos para actualizar a dispositivos más nuevos”.


Similar Posts

Leave a Reply