Esta semana, Google ha lanzado una nueva actualización de seguridad para los móviles que utilizan el sistema operativo Android. La actualización corrige una serie de vulnerabilidades entre las que se incluyen algunas relacionadas con los chips WiFi de Broadcom utilizados por millones de smartphones. Estas vulnerabilidades, permiten la ejecución de código remoto que en otras palabras resulta una puerta de entrada para los hackers.
La falla crítica, conocida como BroadPwn, permite la ejecución de código remoto debido a que los chips vulnerables (toda la familia de chips WiFi Broadcom BCM43xx) pueden ser activados por el atacante sin interactuar con el usuario y así, el atacante puede obtener privilegios que le permiten tomar control del kernel. Google describe en su boletín de seguridad:
La vulnerabilidad más severa en esta sección puede permitir a un atacante remoto utilizar un archivo diseñado especialmente para ejecutar código arbitrario y dentro del contexto de un proceso sin privilegios.
Descubierta inicialmente por el experto en seguridad, Nitay Artenstein quien trabaja para Exodus Intelligence, esta vulnerabilidad (CVE-2017-9417) también afecta a un número de iPhones por lo que se espera que Apple lance también un parche que solucione este problema.
Por desgracia, la vulnerabilidad puede ser corregida únicamente mediante una actualización del fabricante. Esto porque requiere se compilen drivers del chip WiFi Broadcom y el soporte del kernel utilizado. La mala noticia es que para muchos usuarios los fabricantes de smartphones han dejado de actualizar sus móviles aunque estos no sean tan antiguos, por lo que van a estar desprotegidos.
El parche publicado por Google para Android cuenta con otras 10 vulnerabilidades críticas, 94 de gravedad alta y 32 moderadas, todas corregidas.
