26Aug
El navegador web en Android 4.3 y anteriores tiene muchos problemas de seguridad y Google ya no lo aplicará.Si usa un dispositivo con Android 4.3 Jelly Bean o antes, debe tomar medidas.
Este problema está solucionado en Android 4.4 y 5.0, pero más del 60 por ciento de los dispositivos Android están bloqueados en dispositivos que no recibirán ninguna corrección de seguridad.
Por qué Google no está parcheando El navegador de Android 4.3 Anymore
Las actualizaciones del sistema operativo Android son un desastre. Los fabricantes lanzan una gran cantidad de teléfonos diferentes y modifican el código extensivamente. Google no puede simplemente actualizar el sistema operativo en su dispositivo: solo pueden publicar un código nuevo y esperan que el fabricante del dispositivo y su proveedor de servicios de telefonía celular hagan todo lo posible por enviárselo.
Tradicionalmente, la mayoría de los componentes de Android se han integrado en el nivel del sistema operativo. Esto incluye el navegador web incorporado, llamado "Navegador". Es importante destacar que el navegador y el motor de representación subyacente están integrados en el sistema operativo. El motor del navegador se usa en todas las aplicaciones de Android que usan un navegador web incorporado, conocido como "WebView".
Este navegador incorporado se basa en una versión anterior de WebKit, y recientemente se descubrió una falla grave en la que se informó alGoogle. Google no tiene forma de proporcionar una actualización directamente a los usuarios de Android para solucionar este problema. Tiene que ser resuelto a través de una actualización del sistema operativo, que requiere que los fabricantes de dispositivos y los operadores hagan el trabajo.
Lamentablemente, incluso cuando Google publicaba el código de actualización de seguridad para el navegador de Android 4.3, es posible que muchos fabricantes de dispositivos no hayan enviado las correcciones a sus usuarios. La única ventaja es que muchos dispositivos Android se han incluido con Google Chrome, y los usuarios están a salvo mientras usan Chrome en esos dispositivos, pero, nuevamente, no mientras usan otras aplicaciones con navegadores web integrados.
La mayoría de los usuarios de Android están varados, pero Android 4.4 y los más recientes están reparados
Google ha estado trabajando para que las actualizaciones del sistema operativo Android sean menos importantes, eliminando más funciones del sistema operativo central para que puedan actualizarse a través de Google Play. En Android 4.4, los fabricantes de dispositivos pueden actualizar rápidamente el navegador incorporado con un pequeño parche. En Android 5.0, el navegador es actualizado por Google directamente a través de Google Play.
Pero más del 60 por ciento de los dispositivos usan Android 4.3 y versiones inferiores, de acuerdo con los números de Google. Google no ha lanzado un "parche" para Android 4.3, pero, si lo hicieran, correspondería a los fabricantes de teléfonos y operadores de telefonía celular desplegarlo. En realidad, Google ve la actualización de dispositivos a Android 4.4 como la solución, y los fabricantes de dispositivos deberían estar trabajando en eso.
No queremos absolver a Google aquí.Construir el navegador profundamente en el sistema operativo para que no se pueda actualizar rápidamente para solucionar los agujeros de seguridad fue una decisión terrible, y solo podemos estar agradecidos de que ahora hayan cambiado la forma en que funcionan las versiones modernas de Android. Los fabricantes de dispositivos y operadores de celulares merecen mucha culpa por no actualizar los dispositivos con prontitud. Si compra un teléfono con un contrato de dos años, al menos deberían actualizar el dispositivo con actualizaciones de seguridad durante la vigencia del contrato.
Cómo mantenerse seguro en Android 4.3 y versiones anteriores
Pero esto no es solo un debate interesante entre Google y los profesionales de la seguridad en línea. La realidad es que la mayoría de los usuarios de Android están utilizando un navegador web vulnerable, y usted puede ser uno de ellos. Esto es lo que puede hacer para mantenerse lo más seguro posible:
- Instale y use un navegador web diferente : No use la aplicación "Navegador" incorporada para navegar por la web. En su lugar, instale un navegador como Mozilla Firefox o Google Chrome desde Google Play. Chrome solo funciona en Android 4.0 y versiones posteriores, pero Mozilla Firefox aún funciona en Android 2.3 Gingerbread. Estos navegadores incluyen sus propios motores de renderizado, por lo que no utilizan el motor del navegador del sistema. También se actualizan con frecuencia a través de Google Play.¡Es probable que encuentre estos navegadores más rápidos que el navegador integrado si tiene un dispositivo antiguo con un código de navegador integrado más antiguo, de todos modos!
- Evite navegar con navegadores web integrados : el simple hecho de utilizar un navegador de terceros no solucionará todo, ya que aún correrá riesgo si utiliza un navegador web incorporado en una aplicación; estos utilizan el "WebView" del sistema, quees vulnerableEvite navegar con navegadores integrados si tiene una versión vulnerable de Android. Quédese con una aplicación de navegador dedicada como Firefox o Chrome.
Google realmente recomienda que los desarrolladores de aplicaciones de Android agrupen los motores de los navegadores en sus aplicaciones en Android 4.3 y versiones anteriores. Esa es la única forma en que pueden garantizar que sus navegadores integrados sean seguros. Este es un truco sucio alrededor del código del navegador podrido en Android. Es una recomendación bastante loca, pero los desarrolladores pueden querer considerar esto, especialmente si la seguridad es particularmente importante para la aplicación.
Entonces, ¿cuánto de riesgo es esto realmente? Bueno, no hemos sabido de nadie explotando todavía. Pero la clara señal de Google de que el 60 por ciento de todos los dispositivos Android actuales no recibirán parches de seguridad del navegador seguramente ha sido bienvenido a los atacantes. Esperamos que los exploits de Android se abran paso en varias colecciones de exploits del mercado masivo, ya que abandonar el navegador utilizado en la mayoría de los dispositivos Android deja un gran vacío que puede explotarse libremente sin el riesgo de que los parches solucionen los problemas.
Se parece un poco a los problemas de seguridad con el uso de Windows XP, si Windows XP todavía estaba siendo utilizado por la mayoría de los usuarios cuando se abandonó.Sí, el ecosistema de Android es un desastre. Google debería poder obtener actualizaciones de seguridad del navegador para sus usuarios, pero no es así.
