Los usuarios de Android van
a tener un motivo más para preocuparse por la seguridad de sus dispositivos:
Google no va a desarrollar más parches de seguridad para las versiones
inferiores a la 4.4 'KitKat'.
Esa fue la respuesta que recibieron, por parte
del equipo de seguridad de Android, investigadores independientes, cuando
enviaron una nueva vulnerabilidad encontrada en el componente WebView que
afectaba a versiones anteriores a 'KitKat'.
Sorprende bastante. 'Jelly Bean', la versión inmediatamente anterior a 'KitKat', tuvo su última actualización en
octubre de 2013, mientras que el sistema fue presentado y lanzado en julio de
2012. Esto nos daría un tiempo de soporte relativamente pequeño en comparación
con el ciclo de vida de un sistema operativo de escritorio. Si bien es cierto
que el ecosistema móvil evoluciona con mayor velocidad (¿Cuánto haces que
renovaste el móvil? ¿Y el PC?) que el escritorio, muchos dispositivos se quedan
anclados en versiones "obsoletas"
del sistema con apenas un par de años desde que salen de su caja.
Vamos a ponerles cifra a esa parte del pastel
que van a comerse las moscas. Según la propia Google,
'KitKat', el sistema aun soportado,
representa el 39,1% de la base de usuarios de Android. El resto son versiones
anteriores sin soporte directo, lo cual se traduce en millones de dispositivos
vulnerables, 930 millones en cifras del investigador Tod Beardsley de Metasploit.
Sigamos con Tod, interlocutor en este caso
con el equipo de seguridad de Android y quien expuso la respuesta que le
ofrecieron desde Google. Beardsley, uno de los desarrolladores más activos de
Metasploit, comenta en el blog de Rapid7 como solo Metaploit, suite de
explotación de vulnerabilidades, contiene hasta 11 exploits orientados a sacar
partido a distintos fallos documentados en el componente WebView. Este
componente, del que hemos hablado varias veces en Una-al-Día, permite incrustar
contenido web en cualquier aplicación Android nativa sin necesidad de que el
usuario tenga que abrir un enlace en el navegador web.
WebView se basa en el motor WebKit para "dibujar" el contenido web. WebKit
posee un espectacular historial de errores de seguridad que arrastra a cada
aplicación o componente software que hereda su funcionalidad, a eso añádase los
fallos propios del software que haga uso de WebKit (el caso de WebView). Google
ya incluía WebKit hasta la versión 28 de Chrome, siendo reemplazado por "cuestiones técnicas" por el motor
de renderizado Blink, fork de WebKit promovido por Google y Opera. A partir de 'KitKat' WebView se apoya en Chrome para
generar el contenido web, motivo en parte por el cual las vulnerabilidades en
WebView afectan a versiones anteriores a 'KitKat'.
Vamos a quitarle algo de hierro a las
doscientas toneladas de inseguridad que tenemos en ciernes matizando la
repuesta. Google no se niega a publicar más parches para versiones antes de 'KitKat', simplemente no va a
desarrollarlos salvo en el caso de "…otros
componentes, como por ejemplo reproductores multimedia…". Esto quiere
decir que salvo que el parche les llegue de un tercero no van a mover un dedo
para echar tierra en el agujero. O eso o esperar a que sea el propio fabricante
el que produzca y publique un parche para sus usuarios.
Android representa un paradigma abierto
respecto de otras soluciones cerradas como iOS. El código es abierto,
compartido y usado por terceros como sistemas para el hardware que producen. Es
un interesante juego de tensiones e intereses, Google ha dejado parte de la
pelota en el terreno de los fabricantes, a los que quizás les pide más apoyo y
compartir responsabilidad a la hora de dejar a los usuarios expuestos.
Por otro lado queda el sentimiento de
abandono y obsolescencia prematura que pueden sentir los usuarios a los que les
toca la parte rancia de la tarta que representa más del 60%. Una porción que
puede llegar a costarles una indigestión.
Más información:
Platform Versions
Google No Longer Provides Patches for WebView
Jelly Bean and Prior
David García
Pensaba que la Unión Europea había promulgado una directiva en la que se exigía que los fabricantes de dispositivos dieran soporte durante un mínimo de años, incluyendo sistemas operativos. He buscado en la red pero de momento no he encontrado referencias. ¿Alguien recuerda esto?
ResponderEliminarAquí se ve la intención de Google, que le da igual la seguridad del usuario, tanto a fabricante hard (samsung etc.) y soft (google-android) les interesa vender aparatos cómo mucho que nos los quedemos 2 años.
ResponderEliminarMe enoja la actitud de google, es cierto que la evolución en el mundo móvil es rápido, pero debido a que las nuevas versiones del SO piden más requerimientos, muchos (muchos...) dispositivos de gama baja están basado en versiones antiguas de Android... y SO como Firefox no son opción ni soñando. y si alguien sale diciendo que la ventaja es que es OpenSource es porque no ha visto más código del que pegan en pastebin :/
ResponderEliminarComo postee, anteriormente, Google le dio la oportunidad servida en bandeja a Apple; si estos lanzan un celular accesible, matan a las demás compañias y al S.O. Android. Mas si el celular se usa para transacciones comerciales!!
EliminarY bueno, ya que la manzanita esperaba uba oportunidad para darle un buen mordisco a Android, Google se la dio servida en bandeja. ;)
ResponderEliminarEste comentario ha sido eliminado por un administrador del blog.
ResponderEliminarPues nada, habrá que empezar a pensar en usar otros sistemas que no sean Android y que tengan algo más en cuenta a sus usuarios...
ResponderEliminarTienes android 5, no? El problema no es Adnroid, si no los fabricantes. Android actualiza, si , ha actualizado de 4.4 KitKat a android 5 Lollipop. el problema es que no haya cierto soporte para determinados dispositivos, pues la culpa es de las compañias y no de android. Yo tengo un Nexus 4 desde hace 3 años y todavía tengo soporte.
EliminarMe sorprende el desconocimiento de todos los que aportan comentarios. Es que el problema no es de Google, es de los fabricantes que no actualizan.
ResponderEliminarA día de hoy, la ultima versión de Android es la 5.0.2, así que SÍ, Google actualiza Android. El problema no es Google, son los fabricantes como HTC, Samsung, etc, que no actualizan los SO.
Lo que no es normal es que todavía haya dispositivos como las gamas Samsung Galaxy que estén con Jelly Bean. Pero es que el problema no es de Google, es de Samsumg que no lo actualiza.
Si queréis Androids con soporte de verdad compraros un Nexus.