Google en el punto de mira debido a la falta de apoyo a WebView

Los propietarios de un teléfono inteligente Android que no se estén ejecutando la última versión de su sistema operativo podrían llevarse algunas sorpresas desagradables de hackers maliciosos en 2015. Esto se debe a que uno de los componentes básicos de sus smartphone no va a obtener las actualizaciones de seguridad de Google, el propietario del sistema operativo Android.

Sin previo aviso, para cualquiera de los 939 millones de afectados, Google ha decidido dejar de lanzar las actualizaciones de seguridad para la herramienta WebView de Android a los terminales con Android 4.3, más conocido como Jelly Bean, o inferior. Lo que significa que dos tercios de los usuarios de la plataforma no recibirán soporte de Google.

WebView Android permite a las aplicaciones visualizar páginas web sin necesidad de abrir otra aplicación. Muchas aplicaciones y redes publicitarias utilizar este componente, que el equipo de Google Android incluso propugna en su documentación para desarrolladores sobre renderizado las páginas web.

Según Tod Beardsley, gerente de Rapid7 engineering, es también el vector favorito para el ataque para casi cualquier vulnerabilidad de ejecución remota de código en el sistema operativo móvil:

WebView, para muchos, muchos atacantes, es Android, al igual que Internet Explorer [navegador de Microsoft] suele ser el mejor vector para los atacantes que quieren comprometer los escritorios de los cliente de Windows.

Una de las razones principales por la que los atacantes prefieren centrarse en WebView es por su capacidad para interactuar con otras partes de Android, afirma Beardsley.

Joe Vennix, de Rapid7, y Rafay Baloch, un investigador independiente, descubrieron que Google estaba terminando su apoyo a finales del año pasado, cuando el equipo de seguridad de Google Android respondió a una de sus advertencias acerca de un error en el navegador AOSP, que utiliza WebView, con el texto siguiente: 

Si la versión afectada [de WebView] es antes de 4.4, por lo general no desarrollamos los parches nosotros mismos, pero son bienvenidos los reportes de los parches. Aparte de notificar a los fabricantes de los equipos, no vamos a ser capaces de tomar acción en cualquier informe que afecte a versiones anteriores a 4.4 que no estén acompañadas con un parche.

Eso significaba que Google podría enviar los parches para WebView de versiones anteriores de Android si otra persona no sólo encuentra un problema, sino que además también se le ocurre una solución. Según Beardsley, esto podría ser una acción sin precedentes para pedir a los investigadores de terceros que entreguen los parches, así como a un bug.

Android es de código abierto, lo que significa técnicamente que cualquiera podría crear los parches, pero las posibilidades de que esas correcciones lleguen de manos de los fabricantes de dispositivos como Samsung o LG es "prácticamente nula", añade Beardsley. Por el momento, Google se ha negado a comentar sobre el asunto.

Ivan David Gomez Arce editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?