Samsung ha vuelto a adelantarse a Pixel en cuanto a la emisión de detalles de la liberación de seguridad de este mes. Pero tenga cuidado, esta actualización es en realidad una mala noticia para su dispositivo Galaxy: el problema alarmante es lo que falta, no lo que se ha arreglado.
Google ha confirmado ahora que Samsung y otros dispositivos Android son vulnerables al mismo riesgo de seguridad detrás de la advertencia de día cero de Pixel en junio. Mientras que los Pixels han sido parchados, los dispositivos Samsung no lo han sido. Y eso no se aborda en absoluto en la actualización de julio. Dado que esta amenaza fue lo suficientemente grave como para provocar una advertencia del gobierno de EE. UU., debería ser muy consciente de la exposición.
La actualización de Samsung incluye cuatro otras advertencias de seguridad críticas de Android, aunque tres de ellas parchean vulnerabilidades de Qualcomm y se retrasaron desde la actualización de Android en junio. Samsung advierte a los usuarios que las actualizaciones de componentes pueden llegar más tarde que los parches de software y firmware, pero nuevamente Pixel logró lanzar estas más rápidamente.
Al menos la otra actualización crítica de Android en la liberación de julio de Samsung es actual y se ha emitido de inmediato. Google advierte que CVE-2024-31320 impacta el marco subyacente de Android y «podría llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales». Tome eso en sí mismo como una advertencia de actualización.
MÁS PARA USTED
‘El Acolito’ Episodio 6 Resumen y Revisión: Estos Episodios Cortos Fueron Un Gran Error
Riqueza de los 50 más Ricos de Tailandia en la Lista de Forbes Disminuye Casi un 12% a $153.000 millones
Nate Díaz vs. Jorge Masvidal: Fecha, Hora y Cómo Ver
Más allá de los parches de Android más amplios, Samsung incluye la lista habitual de sus propias correcciones, incluyendo actualizaciones críticas para abordar un riesgo de validación de entrada. Samsung advierte que esto podría permitir que un atacante remoto ejecute código arbitrario comprometiendo datos de control seguros en el dispositivo. Aunque «se requiere interacción del usuario para desencadenar esta vulnerabilidad», lo que significa algún tipo de mensaje de interfaz de usuario que el usuario tendría que realizar, esto podría estar oculto de muchas maneras diferentes.
Pero el problema mucho más crítico es la falta de la corrección de día cero de Pixel.
El mes pasado, Google advirtió a los usuarios de Pixel que CVE-2024-32896 «puede estar bajo explotación limitada y dirigida», y el gobierno de EE. UU. luego ordenó que los empleados federales actualicen sus dispositivos Pixel antes del 4 de julio «o dejen de utilizar el producto».
Esta corrección de Pixel fue la segunda parte de una corrección de abril, y GrapheneOS, que estuvo detrás de la divulgación, advirtió que «hay dos vulnerabilidades que se están abordando», publicó GrapheneOS. «Ninguno de los problemas se está solucionando fuera de los Pixels todavía».
Google confirmó esto, diciéndome «La seguridad de Android es consciente de este problema y, después de una revisión adicional, este problema afecta a la plataforma de Android… Los dispositivos Pixel que han instalado la última actualización de seguridad están protegidos… estamos priorizando soluciones aplicables para otros socios OEM de Android y las implementaremos tan pronto como estén disponibles».
Y aunque Google asegura que «se necesitarían explotaciones adicionales para comprometer un dispositivo», es exactamente esta combinación de múltiples vulnerabilidades combinadas en un ataque en cadena lo que GrapheneOS ha advertido. No hay una solución actual para cualquier dispositivo más allá de los Pixels, y podría tomar meses antes de que esté disponible.
GrapheneOS también advierte que otra vulnerabilidad, CVE-2024-29745, sigue siendo una amenaza para los dispositivos Samsung y otros dispositivos Android, y solo ha sido parcheada en los Pixels. «CVE-2024-29745 es el problema más grave», me dijeron, «y fue completamente reparado en abril para los Pixels, pero otros dispositivos no tienen la protección todavía». Debido a que esto es un problema de firmware, necesita ser parcheado OEM por OEM. Y eso tomará tiempo.
Este riesgo donde Pixel ha parcheado y otros no está empezando a formar un patrón, y eso no es una noticia excelente si acaba de gastar $1000 o más en un nuevo dispositivo insignia. También me acerqué a Samsung para obtener comentarios sobre estas vulnerabilidades.
Android 15 se acerca rápidamente, y aunque la versión agregará una gran cantidad de nuevas actualizaciones de seguridad y una mayor protección para los usuarios, también debería solucionar algunos de estos problemas pendientes. Pero es un tiempo de espera largo. Mientras tanto, los usuarios de Samsung deberían actualizar tan pronto como esté disponible la actualización de este mes para su modelo, región y operador.
