lunes, 29 de junio de 2015

El 94% de dispositivos Android estarían en riesgo por este bug


NOTICIA DE COMPUTERHOY.COM

Un grupo de investigadores de seguridad ha encontrado una importante vulnerabilidad en Android que afecta a nueve de cada diez dispositivos de este sistema operativo.

La brecha de seguridad permite crashear el depurador y, junto con otros bugs, podría dejar inutilizable cualquier teléfono móvil.

El fallo de seguridad descubierto por ingenieros de Trend Micro afecta a todas las versiones desde Android Ice Cream Sandwich (4.0) hasta Android Lollipop (5.x), lo que en la práctica se traduce en que el 94,1% de los dispositivos móviles Android.

Trend Micro descubrió que un ciberatacante podría utilizar un archivo ELF para crashear el depurador y acceder a los archivos de registro de la memoria. La vulnerabilidad por sí sola no permite la ejecución de código, aunque facilita las cosas para superar la protección del espacio de direcciones de diseño aleatorias (ASLR).

Eso sí, la brecha de seguridad en teoría podría permitir a un ciberdelincuente realizar ataques de denegación de servicio, lo que podría dejar inutilizable el dispositivo móvil. "Esta vulnerabilidad podría ser aprovechada por una app maliciosa, aunque el impacto sería limitado", razona Wish Wu, uno de los ingenieros que ha descubierto el fallo, subrayando que este bug en Android no permite la ejecución de código dañino.

Trend Micro puso en alerta el pasado 27 de abril a Google, que asignó al bug una prioridad baja y varios meses después todavía no existe disponible un parche para solucionar esta vulnerabilidad. Lo que sí está confirmado es que el fallo no estará presente en la nueva versión del sistema operativo de Google, Android M, que llegará durante el próximo otoño.

Los fabricantes y las operadoras de telefonía sí que tienen al alcance un parche para solucionar este bug desde el mes pasado en el Android Open Source Project (AOSP), pero lo cierto es que este tipo de parches suelen llegar con bastante retraso desde su publicación.

A la espera de que Google arregle esta vulnerabilidad que podría afectar a la memoria de millones de dispositivos Android.

|----------|

A group of security researchers has found an important vulnerability in Android that affects nine out of ten devices of this operating system.

The flaw allows crashear the debugger and, along with other bugs, could leave any mobile phone unusable.

The security flaw discovered by Trend Micro engineers affects all versions from Android Ice Cream Sandwich (4.0) to Android Lollipop (5.x), which in practice means that 94.1% of mobile devices Android.

Trend Micro discovered that a ciberatacante could use a crashear ELF file for the debugger and access log files from memory. The vulnerability alone does not allow the execution of code, but makes it easier to overcome protection random address space layout (ASLR).

Yes, the security gap in theory could allow an attacker to perform denial of service attacks, which could leave the mobile device unusable. "This vulnerability could be exploited by a malicious app, although the impact would be limited," he reasons Wish Wu, an engineer who has discovered the ruling, stressing that this bug in Android does not allow the execution of malicious code.

Trend Micro alerted last April 27 at Google, which assigned a low priority to bug and several months later there is still no available a patch to fix this vulnerability. What is confirmed is that the bug is not present in the new version of the operating system of Google, Android M, which will come during the autumn.

Manufacturers and telephone operators do have available a patch to fix this bug since last month on the Android Open Source Project (AOSP), but the fact is that such patches usually arrive very late from publication.

Pending that Google fix this vulnerability that could affect the memory of millions of Android devices.

No hay comentarios: