La seguretat dels dispositius Android, en qüestió per una vulnerabilitat en el sistema

Fabricants de dispositius, desenvolupadors d'aplicacions, companyies de seguretat i Google estan en alerta per la descoberta d'un error en el codi d'Android que podria posar en perill la seguretat de les dades de milions d'usuaris. La simple descàrrega d'un vídeo podria ser una via fàcil per atacar el dispositiu i posar a l'abast de malfactors arxius i altres dades personals, com les bancàries.

David Joanpere / Redacció TINET. Tot i la possible gravetat de l'error trobat en el cor d'Android, Google i fabricants intenten calmar les veus alarmants posant de relleu bàsicament dos arguments. El primer seria que mai ningú hauria utilitzat aquesta via per infectar cap terminal o fer-ne un mal ús. I, el segon, per sobre d'aquest error existirien altres capes que podrien blindar qualsevol atac per aquesta via.

Aquesta vulnerabilitat, batejada com Stagefright (en anglès, "por escènica"), radicaria dins d'un dels mecanismes interns dels sistema operatiu Android, el libSatgeFright (d'aquí el nom de l'error), el qual serveix per processar contingut multimèdia. Amb la simple descàrrega d'un vídeo, i sense que l'usuari se n'assabenti, es podria donar a l'atacant accés al telèfon. Tot i que la descàrrega sigui únicament per fer una simple previsualització (un frame).

Sobretot, la major part del perill radicaria en els vídeos que es decarreguen automàticament en el telèfon, sense l'aprovació expressa de descàrrega per part de l'usuari. Aquest seria el cas dels vídeos rebuts mitjançant MMS (antics missatges multimèdia), a través de l'aplicació general de missatgeria o d'altres aplicacions com Hangouts, etc. Molts usuaris, ja sigui per la configuració per defecte o per la comoditat de la funcionalitat, tenen aquesta opció activada en diverses aplicacions.

A dia d'avui, es fa difícil que la propera actualització del sistema o la propera actualització de seguretat arribi a la majoria de dispositius, ja que qualsevol modificació ha de passar pels fabricants abans d'arribar a l'usuari del terminal. I justament aquest és un punt dèbil dels dispositius Android, el poc temps de suport (actualitzacions) del fabricant en la majoria de casos.

Moltes marques no garanteixen actualitzacions del sistema més enllà d'un o dos anys des del llençament del seus productes, i en el cas de les actualitzacions de seguretat, més del mateix. Per tant, l'usuari que pugui ser vulnerable no es pot confiar en que li arribarà una actualització de seguretat i hauria de prendre mesures per evitar la vulnerabilitat del seu dispositiu. Google (amb els dispositius Nexus) i les principals marques (Samsung, HTC, LG, Sony, Motorola, Asus i OnePlus) ja han anunciat actualitzacions per als seus darrers terminals d'alta gamma.

El meu telèfon o tauleta és vulnerable?

Al tractar-se d'una qüestió tan interna del sistema operatiu, es fa difícil de conèixer fàcilment si us dispositiu és vulnerable o no. Per aquest motiu, a partir de fer-se públic l'error s'han creat diverses aplicacions que poden ajudar a saber si un telèfon o tauleta està en risc per Satgefright. En aquest cas, us recomanem l'aplicació Satgefright Detector (disponible a Google Play Store), creada per Zimperium, la companyia que va descobrir i ha fet públic l'error de seguretat.

Recomanacions

En el cas que el vostre dispositiu Android fos vulnerable, es recomana seguir una sèrie de recomanacions per tal d'evitar el risc que suposa Stagefright. Aquestes recomanacions són genèriques i, per tant, també són vàlides per mantenir els telèfons i tauletes més segurs davant d'altres perills.

• Actualitzacions de sistema i de seguretat del fabricant. Normalment arriben via OTA (apareix una alerta en la barra de notificacions del dispositiu), però també podeu anar al menú del telèfon > Paràmetres > Quant al telèfon > Actualització de programari (sistema), per comprovar que n'hi hagi. Totes les actualitzacions oficials per a cada model de telèfon estan disponibles habitualment al web de cada fabricant.
• Actualitzacions de les aplicacions. Mantenir les aplicacions actualitzades també ajudarà a protegir els dispositius. En aquest cas, Google ja ha informat que ha actualitzat la seva aplicació Hangout per fer front possibles amenaces. Podeu anar a l'aplicació de Google Play Store > Les meves aplicacions i revisar si hi ha actualitzacions pendents.
• Configuració de MMS. Per eliminar la descàrrega automàtica d'arxius en els missatges multimèdia tradicionals coneguts com MMS, heu d'anar al menú principal del dispositiu > Missatges (l'aplicació en la qual es gestionen els missatges SMS) > Paràmetres i desactivar l'opció Baixada automàtica de MMS.
• Configuració en la resta d'aplicacions de missatgeria. Aneu a les opcions de configuració de les diverses aplicacions de missatgeria que tingueu instal·lades en el vostre dispositiu (sobretot en aquelles en les quals es puguin gestionar SMS i MMS) i deshabiliteu les opcions de descàrrega automàtica d'arxius multimèdia (vídeo, àudio...). Ho trobareu en l'apartat Parametres o Configuració de cada aplicació (hi pot haver un apartat especial per SMS i MMS).
• Compte amb arxius multimèdia sospitosos. Si rebeu algun vídeo o altre fitxer multimèdia que us doni mala espina, eviteu descarregar-lo i reproduir-lo.
• Antivirus. Instal·leu una aplicació antivirus ja que us afegirà una capa més de seguretat per protegir el dispositiu, les vostres dades i comunicacions. A la nostra secció de Programari per a Android trobareu algunes recomanacions.