Según ha descubierto la firma alemana Security Research Labs, varias compañías de fabricantes de teléfonos móviles Android modifican la forma en la que muestran la fecha de última actualización de sus dispositivos para aparentar que están totalmente al día, cuando en realidad pueden carecer de uno o más parches de seguridad.

• SRL comprobó el firmware de 1.200 teléfonos, de más de una docena de fabricantes de teléfonos, para cada parche de Android lanzado en 2017

En la conferencia de seguridad Hack in the Box en Amsterdam, los investigadores Karsten Nohl y Jakob Lell de la firma Security Research Labs planean presentar los resultados de dos años de ingeniería inversa cientos de códigos de sistema operativo de teléfonos Android, comprobando minuciosamente si cada uno dispositivo en realidad contenía los parches de seguridad indicados en su configuración.

• https://conference.hitb.org/hitbsecconf2018ams/sessions/mind-the-gap-uncovering-the-android-patch-gap-through-binary-only-patch-level-analysis/

“Sometimes these guys just change the date without installing any patches"

"A veces estos tipos simplemente cambian la fecha sin instalar ningún parche"

La lucha de Google para poner freno a la fragmentación de Android es una de esas batallas que se dan por perdidas. A fin de cuentas, los usuarios se aferran a sus teléfonos más allá de los plazos de soporte brindados por los fabricantes, pero políticas como el lanzamiento rutinario de parches de seguridad tratan al menos de proteger en medida de lo posible a los consumidores. Los problemas surgen cuando algunos fabricantes mienten acerca de las actualizaciones instaladas.

• 0-1 missed patches—Google, Sony, Samsung, Wiko Mobile
• 1-3 missed patches—Xiaomi, OnePlus, Nokia
• 3-4 missed patches—HTC, Huawei, LG, Motorola
• 4+ missed patches—TCL, ZTE

• https://srlabs.de/wp-content/uploads/2018/04/SRLabs-Mind_the_gap-Android_Patch_Gap-HITB_2018.pdf 

Durante la investigación se examinaron teléfonos fabricados por Google, Samsung, Motorola, HTC, ZTE y TCL entre otras marcas. Google fue la única que mostraba las actualizaciones instaladas de forma fidedigna.


Se desconocen los motivos por los que un fabricante puede querer aparentar que sus teléfonos están puestos al día. Karsten Nohl, investigador de SRL (Security Research Labs), cree que Sony y Samsung podrían dejar pasar por accidente uno o dos parches de seguridad, pero eso no explica cómo es posible que el Samsung J5 de 2016 muestre correctamente los parches instalados mientras que el Samsung J3 2016 afirme tener todas las actualizaciones lanzadas en 2017 cuando no había recibido 12, dos de ellas consideradas críticas.

Tampoco es fácil saber el motivo por el que estos parches no son lanzados por los fabricantes. Por marcas, Sony, Samsung y Wiko tienen el menor número de parches no instalados, con una media de 0 a 1 ausencias, seguidas por Xiaomi, OnePlus y Nokia (de 1 a 3 actualizaciones no instaladas), HTC, Huawei, LG y Motorola (de 3 a 4). En el vagón de cola se encuentran TCL y ZTE, con más de cuatro actualizaciones no instaladas a pesar de afirmar lo contrario.

Security Research Labs cree que el origen de los chipsets podría guardar relación con el número de actualizaciones no instaladas. Los teléfonos con un procesador fabricado por Samsung son con mucha diferencia los más actualizados, seguidos por Qualcomm y HiSilicon (Huawei). Muy, muy lejos de todos ellos se sitúa MediaTek, cuyos teléfonos tienen una media de 9,7 parches no instalados.


Según ha comunicado un portavoz de Google a The Verge, el equipo de desarrollo de Android ha lanzado varias investigaciones para hacer que los fabricantes actualicen sus dispositivos de acuerdo con lo esperado, no sin afirmar que algunos de estos incidentes podrían estar relacionados con el lanzamiento de parches para funciones que no están presentes en dichos dispositivos o que carecen de certificación de seguridad de Google.

Los usuarios de un teléfono Android que quieran comprobar si su dispositivo está correctamente actualizado pueden descargar una herramienta llamada SnoopSnitch desarrollada por Security Research Labs que comprueba los parches instalados y los contrasta con el calendario de actualizaciones oficial.

• SnoopSnitch (Para algunas funciones, la aplicación debe ejecutarse en teléfonos Android rooteados, pero el análisis de parches de seguridad funcionará en todos los teléfonos que usen un chipset Qualcomm)

Fuentes:
https://www.elotrolado.net/noticia_algunos-fabricantes-de-telefonos-android-mienten-acerca-de-los-parches-de-seguridad-instalados_35956