La seguridad y actualización en los dispositivos móviles es imprescindible a día de hoy. Cualquier vulnerabilidad puede ser aprovechada por gente malintencionada para dañar nuestros terminales, así que más vale prevenir que curar.

En este aspecto Google cada vez lo tiene más claro y ha liberado ya, para sus dispositivos Nexus, el parche de seguridad de julio, el cual resuelve la friolera de más de 100 errores, varios de los cuales tenían que ver con los componentes del propio sistema operativo y controladores de algunos fabricantes de procesadores, aunque su objetivo principal es la parte del sistema que maneja el flujo del sonido y el vídeo.

En cuanto a esta parte, el parche soluciona 16 vulnerabilidades, de las que al menos 7 son críticas, que podrían usarse para obtener privilegios avanzados.

Google notificó hace un mes todo este asunto a los fabricantes, tiempo suficiente para haber ido preparando y/o adaptando los más de 100 errores encontrados en Android a sus propios gadgets. Ahora dependerá de cada empresa la mayor o menor celeridad para resolver los problemas encontrados, y ya sabemos que hay marcas que en este aspecto dejan muchos que desear.

nexus-5

Resumen de las vulnerabilidades encontradas

Críticas

  • Ejecutación remota con Mediaserver.
  • Ejecutación remota con OpenSSL & BoringSSL.
  • Elevación de privilegios con Debuggerd.
  • Vulnerabilidad con elevación de privilegios con programa de desempeño de Media Tek Drive.
  • Vulnerabilidad con elevación de privilegios con programa de desempeño de Qualcomm CPU.
  • Vulnerabilidad con elevación de privilegios con programa de desempeño de Qualcomm Performance Center.
  • Vulnerabilidad con elevación de privilegios con driver de Video Driver de NVidia.
  • Vulnerabilidad con elevación de privilegios con componente de kernel.
  • Vulnerabilidad con elevación de privilegios con programa de desempeño de driver del USB.

Alta Prioridad

  • Ejecutación remota con kernel
  • Vulnerabilidad con revelacion de informacion con componentes de Qualcomm (5 componentes).
  • Vulnerabilidad con revelacion de informacion con componentes de Media Tek (6 componentes).
  • Vulnerabilidad con revelacion de informacion con componentes de Nvidia (2 componentes).
  • Vulnerabilidad con revelación de información con el kernel teletype driver.
  • Ejecutación remota con Bluetooth.
  • Vulnerabilidad con elevación de privilegios en libpng.
  • Vulnerabilidad con elevación de privilegios en los sockets.
  • Vulnerabilidad con elevación de privilegios en LockSettingsService.
  • Vulnerabilidad con elevación de privilegios en Framework APIs.
  • Vulnerabilidad con elevación de privilegios en ChooserTarget service.
  • Vulnerabilidad con elevación de privilegios en Wi-Fi.
  • Vulnerabilidad con elevación de privilegios en Mediaserver.
  • Vulnerabilidad con elevación de privilegios en MediaTek Wi-Fi Driver.
  • Vulnerabilidad con revelación de información con OpenSSL.
  • Vulnerabilidad con revelación de información con Media server.
  • Vulnerabilidad DoS con libc y Media server.

Moderado

  • Elevación de privilegio con lsof.
  • Vulnerabilidad con revelacion de informacion con componentes de Qualcomm.
  • Vulnerabilidad con revelacion de informacion con componentes de Media Tek.
  • Vulnerabilidad con elevación de privilegios en kernel video driver.
  • Vulnerabilidad con elevación de privilegios en Framework APIs.
  • Vulnerabilidad con elevación de privilegios en Bluetooth.
  • Vulnerabilidad con elevación de privilegios en el NFC.
  • Vulnerabilidad de elevación de privilegios con sockets.
  • Vulnerabilidad de revelo de información con Mediaserver.
  • Vulnerabilidad de revelo de información con Proxy Auto-Config.
  • Vulnerabilidad DoS con el mediaserver.

Solo queda confiar en la marca de vuestro dispositivo para que estas vulnerabilidades sean resueltas, y esto es algo que puede llevar días, meses… o que finalmente nunca lleguen a resolverse.

Vía | Talkandroid | Boletín de seguridad de Android