No es sorpresa que muchos smartphones Android sean vulnerables a los múltiples problemas de seguridad que Google Project Zero informó durante el verano. El problema es que siguen sin parches de seguridad para Android, a pesar de que Arm lanzó soluciones para ellos.

Los teléfonos Android equipados con GPU Arm Mali se ven afectados por las fallas sin parchear. Tal y como señala el investigador de GPZ, Ian Beer, hasta los smartphones Pixel de Google son vulnerables, al igual que los teléfonos de Samsung, Xiaomi, Oppo y otros.

Por ello, Beer está instando a todos los principales proveedores de smartphones con Android a hacer exactamente lo que se les dice a los consumidores todo el tiempo: parchear sus dispositivos lo antes posible. En este momento, los usuarios de smartphones no pueden aplicar un parche para un controlador de GPU Arm Mali. Y a pesar de que Arm lanzó correcciones para ellos hace meses. Esto está ocurriendo porque ningún proveedor de smartphones con Android ha aplicado las correcciones a sus compilaciones.

¿Qué más detalles se conocen sobre los parches de seguridad de Android?

Como señala Beer en una entrada de blog, el investigador de GPZ, Jann Horn, encontró cinco vulnerabilidades explotables en el controlador de GPU de Mali. Uno que GPZ rastrea como problemas 2325, 2327, 2331, 2333, 2334 . Estos fueron informados a Arm en junio y julio de 2022.

Arm los arregló en julio y agosto y les asignó el identificador de vulnerabilidad CVE-2022-36449, los reveló en Arm Mali Driver Vulnerability. Incluso publicó la fuente del controlador parcheado en su sitio web público para desarrolladores. Otro error de GPU de Mali que Arm solucionó se rastrea como CVE-2022-33917. Beer se refiere a ambos errores en su informe sobre la «brecha de parches» por parte de los proveedores de smartphones Android.

Ello significa que, durante varios meses, los proveedores han tenido la información disponible para parchearlos. Sin embargo, en una verificación reciente de GPZ, ninguna de las principales marcas de teléfonos Android ha emitido una solución para ellos.

persona con Android
Vía Pexels

Google ya está trabajando para solucionar el problema

Afortunadamente, parece que el equipo Pixel de Google y el equipo de Android están trabajando en solucionar el problema con los parches de seguridad. A partir de esta semana, el equipo de Android está hablando con los fabricantes de smartphones Android (OEM) y les solicitará que corrijan las vulnerabilidades para cumplir con la política de nivel de parche de seguridad (SPL) de Android OEM. Pero el equipo de Pixel no tendrá parches hasta dentro de unas semanas. Otros OEM de Android seguirán su ejemplo con el tiempo.   

El investigador de GPZ, Tim Willis, escribió al respecto: «Actualización desde Android y Pixel. La solución proporcionada por Arm se está probando actualmente para dispositivos Android y Pixel y se entregará en las próximas semanas. Se requerirá que los socios OEM de Android tomen el parche para cumplir con los futuros requisitos de SPL».

Para Beer, todo esto es un recordatorio de que los proveedores deben hacer lo que se les dice a los consumidores:

«Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y las empresas. Minimizar la ‘brecha de parches’ como proveedor en estos escenarios es posiblemente más importante, ya que los usuarios finales (u otros proveedores posteriores) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad del parche. Las empresas deben permanecer atentas, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible». 

Esperemos que pronto esta brecha de vulnerabilidad en los parches de seguridad de Android se solucione por completo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *