Hace unos días os contábamos el fallo de seguridad que tienen los chips WiFi diseñados por la firma Broadcom. Están instalados en millones de dispositivos pero el «bug» permite que un ciberdelincuente pueda acceder al dispositivo del usuario. Apple ya ha corregido el problema, puesto que lanzó una actualización del sistema operativo iOS, pero Android no.
Millones de «smartphones» Android continúan en peligro por lo que un ciberdelincuente pueda acceder al dispositivo siempre que esté operando sobre la misma red WiFi, por ejemplo, en una cafetería. El cibercriminal puede atacar la red de dicho establecimiento, introducir código malicioso y, acceder, así a los datos almacenados en el teléfono. Todo ello sin que la víctima se entere.
Hablamos de un fallo de seguridad que afecta a los chips Broadcom, instalados en iPhone o Nexus 5, 6 y 6P, pero también de Qualcomm. Google ha lanzado ya las actualizaciones para solucionarlos. El problema es que la solución solo está disponible para sus propios teléfonos.
«Google ha sacado una actualización de seguridad de Android para varias vulnerabilidades como indican en su informe mensual», explica Carlos Tomás, CTO de Enigmedia, start-up precursora de comunicaciones seguras en nuestro país. Como puede verse en el informe, tanto el identificador universal CVE-2016-8465, de Broadcom, como el CVE-2017-6424, de Qualcomm han sido reparados.
«Son dos fallos de seguridad muy similares, pero uno afecta a los chips Broadcomm y el otro a los chips de marca Qualcomm. Ambos se conocieron en octubre del año pasado solo que no se había hecho público para dar tiempo a los fabricantes a preparar sus propios parches», añade Carlos Tomás.
«A diferencia de Apple, que solo desarrollan sistemas operativos móviles para sus propios terminales -continúa-, Android es código abierto, lo cual permite que cada fabricante se 'cocine' su propia versión optimizada (rom) para el teléfono o telefonos. Aunque Google es el principal apoyo de Android, cualquiera puede aportar código y Google solo distribuye roms para sus propios terminales, que además ni siquiera fabrican ellos».
Eso se traduce en que solo Google es capaz de «cocinar las roms de sus propios terminales», según el experto. «Aunque en enero avisó a los fabricantes del problema, cada fabricante es libre de decidir si saca una actualización o no, y en caso de sacarla, cuando. Si el fabricante de nuestro teléfono no saca una actualización para una vulnerabilidad así, es posible que deberíamos planteárnoslo a la hora de cambiar de dispositivo», aconseja el responsable de Enigmedia.
Y es que el error de seguridad en los chips de Qualcomm afectaba a los dispositivos Nexus 5X, Pixel, Pixel XL y Android One. El de Broadcom afectaba a los usuarios de Nexus 6, Nexus 6P, Nexus 9, Pixel C y Nexus Player. Por tanto, el error de seguridad ha sido solucionado. Pero solo para los «smartphones» de Google. El resto, como Samsung o LG, también afectados, siguen con ese «bug».
«El fallo se considera moderado porque aunque permitía ejecutar código necesita primero comprometer un proceso con suficientes privilegios para ejecutarlo y porque la propia configuración en los terminales suele impedirlo», comenta el experto. «Sin embargo, a nivel de reputación, puede afectar negativamente a toda la marca Android porque no todos los fabricantes van a actuar con la misma celeridad que lo ha hecho Google o el propio Apple que sacó también una actualización hace unos pocos días para evitar esta vulnerabilidad».