Más del 50% de teléfonos Android tienen fallos de seguridad sin corregir

Se refiere a que detecta como amenazas aquellas herramientas que has instalado tú conscientemente para rootear el móvil o cambiarle la ROM.

Aún así, seguro que hay muchas vulnerabilidades y es un problema, pero éstas no lo son ya que te preguntan si quieres dar acceso de root a tal o cual aplicación.

1.- Los fallos de seguridad en Android son públicos, está el código fuente disponible y cualquiera, con los conocimientos adecuados, puede tener conocimiento de ellos. En otras plataformas, si nadie dice nada, el fallo de seguridad se queda ahí para toda la eternidad. El presuponer mayor seguridad para el usuario en plataformas cerradas (o abiertas) es un ejercicio de parcialidad que no corresponde al presunto nivel de esta web.

2.- El tono del artículo es totalmente alarmista, rozando el amarillismo puro de los canales del TDT-Party. Teniendo en cuenta los sucesivos artículos, estudios, etc presentados en los dos últimos años sobre seguridad en Android, sospechosamente presentados por empresas del ramo a las que les interesa vender productos o soluciones de seguridad, sería imposible que pudieras comprar un terminal Android y que tus datos no estuvieran a los pocos minutos en manos de crackers, mafias y demás delincuencia organizada. Evidentemente, cuando se usa el alarmismo de manera intencionada, publicaciones como ésta no deberían funcionar ni como altavoces (como la mayoría de las veces) ni mucho menos como amplificadores (como en esta ocasión).

3.- La dejadez de los fabricantes y operadores, tanto monta, monta tanto, a la hora de mantener los terminales al día y ofrecer un nivel de seguridad óptimo a sus clientes es un hecho indiscutible. A veces, aunque no se suba de versión de Android se ofrecen parches de seguridad en algunas marcas o terminales concretos (HTC por ejemplo), pero ni siquiera esto es algo extendido.

4.- Intentar responsabilizar a Google, una empresa que se dedica como bien dices a solucionar con presteza cada nueva vulnerabilidad detectada, ofrecer el código corregido de manera pública y dar todas las herramientas para facilitar a cualquiera (fabricante o consumidor) para que pueda corregir esa vulnerabilidad, de ser el culpable de la actual situación, es signo de dejarse llevar por el "run-run" que suena en la red y ver el problema de manera simplista y en su superficie. Google ha aumentado significativamente el beneficio de los fabricantes con Android (y no hablo de aumento de ventas) eliminándoles el coste de una de las partidas imprescindibles: el desarrollo del software y su mantenimiento (que se hacía también cuando los terminales no eran tan "smart" y eran más "phones"). Ahora sólo hay que adaptar los controladores del harware a la nueva versión (a veces no hay que hacer nada en ese sentido) solucionar posibles incompatibilidades con las aplicaciones propias o con funciones específicas y muy concretas de cada terminal (casos contados en cada fabricante). Nos intentan vender que les supone un trabajo y un esfuerzo enorme hacer, tal vez, una décima parte del trabajo que antes hacían sin ningún problema. Y lo peor, es que las páginas presuntamente especializadas se tragan tan supina insensatez tranquilamente.

5.- Al parecer nadie ha relacionado esta dejadez por parte de los fabricantes a la hora de actualizar el software de los terminales con el hecho de que, en los últimos 2-3 años, la mayoría hayan hecho ajustes en su plantilla que han consistido tranquilamente en el despido de cientos o miles de trabajadores. Seguro que sus departamentos de software han salido muy perjudicados en este tipo de situaciones y en muchos casos se habrán quedado con lo mínimo imprescindible. Eso sí, los terminales siguen valiendo lo mismo y se ha eliminado el coste de generar el software y de mantenerlo.

En fin, no deseo para nada criticar personalmente al autor, considero que lo expuesto anteriormente es una trampa en la que se está cayendo mucho últimamente y en la que cada cual habla de su tema pero no se ve la situación en su conjunto para hacer un análisis profundo sobre sus causas y motivos.

Sí, qué casualidad, jajaja. Esto supongo que fue "y una cosa más..." de la presentación de ayer.

Y añado, es la segunda noticia de este tipo, de otra fuente totalmente distinta, que leo hoy. La otra es más alarmante y más sci-fi aún. Las dos, casualidades de la vida, de 365 días del año salen al día siguiente de la presentacion de "Irobot5". Yo lo tengo muy claro, me pillo un iphone, y ¡Gloria al hipnosapo!.

Acabo de instalar la app esta para las vulnerabilidades y me respondo a mi mismo. Me sale que es vulnerable a gingerbreak y para ZergRush. ¿Qué significa esto? Ni idea, pero me suenan a aplicaciones para rootear.

Si una aplicación puede rootear tu sistema con que sólo pulses un botón, también puede hacerlo sin que lo pulses y, por lo tanto, sin que te des cuenta. Y si puede obtener acceso root, tiene acceso a tus datos. No creo que nadie considere que eso no sea un fallo de seguridad.

# la mayoria de fabricantes dejan tirados a sus telefonos (en lo que actualizaciones se refiere) pocos meses despues de su salida al mercado

Lo malo, es que los fabricantes siguen sacando teléfonos desactualizados y que ya se sabe que nunca lo serán (Ace2, Mini2,...)

Sí, pero menos que el resto. Si tienes cerradas todas las conexiones, wifi, 3G y bluetooth entonces casi que sí.

Si yo raras veces tengo algo activado. El bluetooth solo lo enciendo cuando lo necesito, el wifi igual, Internet del móvil lo uso solo en situaciones extremas cuando no consigo pillar ninguna wifi.

Tengo un Galaxy Mini y a ese móvil la batería le dura poquito, poquito.

Tengo un smartphone más que nada para probar las webs que programo en una pantalla táctil.

Entonces duerme tranquilo, me imagino que además las webs las probarás desde el wifi de tu casa principalmente.

Si, generalmente las pruebo en LAN.

Si tienes una vulnerabilidad relativamente grave deberías preocuparte ya sólo por tener el móvil encendido.

Había pensado en adquirir un Nokia N9 con MeeGo, en eso al menos no se fija la gente.

En la práctica no es ese el problema, el mayor problema se da al instalar aplicaciones de terceros (especialmente de fuente inseguras)... al final la gente no se complica la vida y para que molestarse en infectar desde internet, cuando haces una app atractiva, la subes a Play y la gente se la descarga como churros (si es gratis)... o coges una app de pago, te creas un apk, le metes regalito y la sueltas, que muchisimos la descargarán y listo.

Aun así por ese lado también hay peligro... incluso hasta ICS, cualquiera puede tomer el control de tu terminal via bluetooh o WIFI (bueno cualquiera no, pero los exploit necesarios son fáciles de conseguir y relativamente fáciles de usar, especialmente el de bluetooh).

Pero si no quieres perder en sueño con estas cosas (que tampoco implica que vaya a estar a salvo, que todos los días se detectan problemas en todo tipo de sistemas), pues en este caso pillate terminales Nexus o al menos que reciban vastantes actualizaciones como los de Sony (que tampoco es que sean una maravilla en esto, pero al menos son mucho mejores que la media). Así tendrás un pequeño riesgo, pero muy bajo.

salu2

Debe de ser eso y no el que JB este en un 1,2% de dispositivos… Es más, seguro que Apple paga a los otros fabricantes para que no actualicen sus terminales android, buwaaaahaaaahahaaaa *rie hasta que le estalla la cabeza*

La de las redes WiFi abiertas se corrigió rápidamente porque el parche se implementó en los servidores de Google. No quiero hacer ningún FUD, simplemente digo que en el caso de una vulnerabilidad 0-day ni Google ni los fabricantes están preparados para sacar parches rápidamente para sus móviles, y si se diese el caso de que la vulnerabilidad permite que el malware se autoreplique el caos puede ser enorme. Obviamente, no digo que esto vaya a pasar.

Lo de que se propague de móvil a móvil... ¿Tú crees que es ciencia ficción? Si encuentran vulnerabilidades en los sistemas de comunicación del móvil (Bluetooth, Wifi, GSM...) podrían hacerlo. Otra cosa, claro está, es que consigan descubrir esos fallos si los hay, pero imposible no sería.

Vale, está proponiendo que exista una vulnerabilidad en la comunicación del móvil que permita al atacante instalarle software, en este caso malware, sin que se percate el usuario.

- Por bluetooth además requeriría que este protocolo tambien fuera vulnerable, que recibiera archivos por OBEX push sin PIN (algo que no sucede desde el 2003)

- Por Wifi se necesitaría activar un servidor con un puerto tcp activo para recibir datos, algo que por defecto ningún móvil trae activo.

- Por GSM se debería poder recibir comandos de servicio sin autorización, pero otra vez necesitamos una vulnerabilidad en este sistema, pues estos se reciben por SMS y el usuario los ve, y además estos comandos de servicio sólo podrían modificar temas de telefonía, nunca para recibir paquetes de datos.

Además, después de ser capaz de detectar una de esas supuestas vulnerabilidades, hay que conseguir que el sistema objetivo instale el malware sin intervención del usuario. Esto requeriría otra vulnerabilidad más, o un troyano instalado en la víctima que permitiera escalada de privilegios.

Vamos que eso ya no sería un móvil, sería un queso gruyere. Ahora calculemos las posibilidades de que los usuarios tengan móviles con esos graves fallos de seguridad. Ínfimas. Cualquier móvil que tuviera siquiera un agujero similar a esos sería rápidamente retirado del mercado, con un bonito escándalo de por medio.

Ahora dígame que decir "El malware se propagaría cual ardilla española hace unos años, saltando de Android en Android." no es FUD

A lo que voy con el ejemplo es a que en caso de un malware que se propague por los teléfonos aprovechando vulnerabilidades del sistema, sería muy difícil parar su propagación a través de actualizaciones del sistema.

Y aun así, no harían falta fallos en el protocolo, sino en la implementación. Por ejemplo, una vulnerabilidad de buffer overflow en el driver wifi que ha implementado un fabricante X, que permitiría ejecutar código arbitrario al enviar un paquete malformado. No estoy diciendo que sea fácil, ni siquiera creo que vaya a ocurrir. Lo que quiero destacar es que los fabricantes no tienen la capacidad de responder a un ataque de este tipo.

Mira, precisamente acabo de leer una cosa que viene muy bien para lo que estaba comentando

http://www.securitybydefault.com/2012/09/android-tus-horas-estan-contadas.html

Si es una vulnerabilidad en el sistema Android, a ver cómo son capaces de corregirlo rápidamente.

Y? si eso fuera verdad, primero que lo demuestren, solo consiste en un ataque DoS, ¿qué tiene eso que ver con malware saltando de móvil en móvil como ardillas?