Lo que necesita saberGoogle solucionó un problema de seguridad grave para los dispositivos Pixel con el lanzamiento de la caída de funciones de Pixel de junio la semana pasada. Aunque la falla afecta a más dispositivos Android, los dispositivos que no son Pixel tendrán que esperar hasta Android 15. Esta decisión deja a los dispositivos Android vulnerable a una falla explotada activamente durante meses. La semana pasada, Google finalmente abordó una falla de seguridad crítica sobre la cual los investigadores y defensores de la seguridad han estado creando conciencia desde abril. ¿El problema? Google incluyó la solución en la caída de funciones de píxeles de junio y otros teléfonos Android no pueden recibir la actualización. BleepingComputer informó por primera vez sobre el parche, y el equipo de GrapheneOS, que informó por primera vez sobre la vulnerabilidad, confirmó que los dispositivos que no sean Pixel deberán esperar a que Android 15 obtenga una solución. Google parchó 50 vulnerabilidades de seguridad en la actualización QPR3 de Android 14 para Pixels. Sin embargo, una destaca porque se trata de una vulnerabilidad de día cero. Esto significa que la falla fue explotada activamente antes de que Google se diera cuenta. Las vulnerabilidades de seguridad de día cero son las más graves y, por lo tanto, Google recomienda que todos los usuarios de Pixel apliquen la actualización de junio lo antes posible. Se solucionó en Pixels con la actualización de junio (Android 14 QPR3) y se solucionará en otros dispositivos Android cuando finalmente actualicen a Android 15. Si no actualizan a Android 15, probablemente no obtendrán la solución, ya que no ha sido respaldado. No todos los parches tienen respaldo. 13 de junio de 2024 La compañía compartió esta información en el Boletín de actualización de Pixel, que es donde Google proporciona actualizaciones sobre problemas de seguridad que afectan a los dispositivos Pixel o Android. «Hay indicios de que CVE-2024-32896 puede estar bajo explotación limitada y dirigida», explica la empresa. Según GrapheneOS, el CVE-2024-32896 explotado activamente se refiere al mismo exploit que se informó anteriormente como CVE-2024-29748. El nuevo identificador representa la solución exclusiva de Pixel que se incluyó en la actualización de junio. El problema es un problema de elevación de privilegios (EoP) con el firmware de Android al que Google se refirió como de «alta gravedad» para los píxeles. «Fue explotado por empresas forenses contra usuarios con aplicaciones como Wasted y Sentry que intentaban borrar el dispositivo al detectar un ataque», explicó el equipo de GrapheneOS. «Lo abordamos como parte de la creación de nuestra función de PIN/contraseña de coacción y lo informamos para que Google lo solucione en Android, lo cual ya está hecho». Los desarrolladores añaden que dos problemas centrales hacen posible el exploit. La primera es que la memoria del sistema no se borra al ingresar al modo de inicio rápido, lo que significa que es posible que un exploit acceda a la memoria anterior del sistema. Un problema separado pero relacionado se centra en la API de administración del dispositivo del Proyecto de código abierto de Android que necesita reinicio para recuperación para borrarse, aunque esto se solucionó en Android 14 QPR3. El primer problema se solucionó anteriormente en Pixels y el segundo se solucionó en el Caída de funciones de píxeles de junio. Sin embargo, como mencionamos, los teléfonos y tabletas Pixel son los únicos que reciben la solución. Esto se debe a la forma en que los OEM de Android publican actualizaciones y correcciones de software, y no es del todo culpa de Google. Obtenga las últimas noticias de Android Central, su compañero de confianza en el mundo de AndroidPor qué otros teléfonos Android no reciben una solución (Crédito de la imagen: Nicholas Sutrich / Android Central) Teniendo en cuenta que este problema fue explotado activamente y tiene una gravedad alta, usted Probablemente te preguntes por qué otros dispositivos Android no reciben una solución. Después de todo, Google recomienda a los usuarios de Pixel que actualicen sus dispositivos lo antes posible para protegerse. La verdad es que Google ha hecho su parte y depende de los demás fabricantes de equipos originales implementar una solución. La compañía incluyó el parche en Android 14 QPR3 y cualquier dispositivo que reciba la actualización de Android 14 QPR3 lo recibirá. Correcciones como esta a menudo se agregan al Proyecto de código abierto de Android, o AOSP, que sirve como base para otras versiones de Android. Un sistema operativo como One UI de Samsung o OxygenOS de OnePlus utiliza AOSP como base. El problema es que los sistemas operativos de terceros suelen aplicar actualizaciones de AOSP anualmente. Por lo tanto, es probable que Samsung utilice la versión AOSP de Android 15 como base para One UI 7. Sin embargo, una versión futura de Android 15 QPR2 o Android 15 QPR3 no afectaría a los dispositivos Samsung Galaxy hasta One UI 8. En otras palabras, el La razón por la que los dispositivos Google Pixel son los únicos que reciben este parche es porque son los únicos que reciben actualizaciones mensuales, trimestrales y anuales. En teoría, una empresa podría adoptar la solución incluida en Android 14 QPR3 y aplicarla a sus teléfonos. Sin embargo, dado que otros fabricantes de equipos originales no realizan actualizaciones trimestrales, los parches de seguridad incluidos en Android 14 QPR3 no llegarán a sus dispositivos hasta Android 15. Algunos parches de seguridad se implementan en versiones anteriores de Android mediante un proceso llamado backporting. Sin embargo, esto no sucede con todos los parches. Probablemente Google debería haber respaldado la solución de esta falla de seguridad, teniendo en cuenta la gravedad y su estado de día cero. Sin embargo, no es necesariamente responsabilidad de Google hacerlo. Además, sólo la mitad de los problemas de seguridad están relacionados con AOSP. Nadie puede resolver el primer problema descrito anteriormente excepto cada fabricante. Este es el último ejemplo de cómo elegir un teléfono Android de una marca distinta a Google puede poner al usuario en riesgo de seguridad. Otras marcas tardan demasiado en responder a los fallos críticos de día cero con parches, y es un problema real. A veces, la culpa la tiene Google y otros fabricantes de equipos originales asociados, y a menudo es una combinación de ambos. De cualquier manera, los usuarios sufren.