Un investigador en seguridad ha descubierto una forma de hacerse con el control de casi el 70% de los dispositivos Android a través de una aplicación web. No se sabe si hay alguien usando este ataque para entrar en los teléfonos de la gente, pero los hallazgos del investigador sirven para recordarnos que Google se enfrenta a un problema cada vez mayor porque no cuenta con ninguna forma de distribuir eficazmente las actualizaciones de seguridad a los cientos de millones de dispositivos que utilizan su software en todo el mundo. Y muchos de esos dispositivos cuentan con versiones anticuadas de Android.

El nuevo ataque ha sido desarrollado por un ingeniero de software de la empresa de seguridad Rapid7, Joe Vennix. La empresa añadió el ataque la semana pasada a su software Metasploit, que se usa para buscar vulnerabilidades conocidas en dispositivos y sistemas. Su código hace uso de un virus, reconocido por primera vez en diciembre de 2012, en el navegador web incorporado en Android. El ataque se podría usar para hacerse con el control de un teléfono después de dirigir a alguien a una página web con el código malicioso incrustado, o administrando el código a través de una aplicación, muchas de las cuales exponen contenido como los anuncios usando las capacidades de navegador de Android. Vennix halló que una aplicación de Baidu , por ejemplo, era vulnerable a este ataque al instalarse en un dispositivo que tuviera la versión de Android lanzada en diciembre de 2013. Otro investigador halló que el ataque funciona en Google Glass.

Vennix calcula que el 70% de los dispositivos Android son vulnerables al ataque, basándose en las cifras de Google sobre la proporción de dispositivos que ejecutan distintas versiones de Android. Y, lo que es clave, aunque Google lanzó una nueva versión de Android que arreglaba el virus subyacente en noviembre de 2012, la mayoría de los dispositivos que ejecutan el software probablemente sigan siendo vulnerables al ataque durante toda su vida útil porque no se actualizarán.

Google ha convencido a muchos fabricantes de que instalen Android en sus productos, pero pocos se dan prisa a la hora de actualizar con nuevas versiones del software. Y Google tampoco tiene ningún mecanismo para imponer las actualizaciones directamente en los dispositivos, como los que se incluyen en los sistemas operativos de sobremesa entre ellos Microsoft Windows o Mac OS.

Eso limita la capacidad de Google de imponer nuevas funciones y parches de seguridad a los dispositivos que cuentan con su software. Por el momento la empresa ha tenido poco éxito a la hora de abordar el problema. En mayo de 2011, por ejemplo, Google anunció la Alianza de Actualización de Android, según la cual los operadores móviles distribuirían las actualizaciones de Android rápidamente durante los primeros 18 meses de vida del dispositivos. Pero el proyecto fracasó y ya no está activo. Google no ha querido hacer declaraciones para este artículo.

Más recientemente, Google ha buscado directamente evitar a los operadores al traspasar algunas de las funciones de Android a aplicaciones separadas, que se pueden actualizar a través de la tienda de aplicaciones de la empresa, Play. Antes YouTube, Gmail y Google Search se incluían en el software de Android pero ahora son aplicaciones separadas; Google puede obligar a hacer las actualizaciones de funciones y reparaciones de seguridad a estas aplicaciones sin tener que colaborar con ninguna otra empresa. En las versiones más recientes de Android, el código del navegador incluido está oculto a los usuarios, que usan una versión de aplicación móvil del navegador de sobremesa de Google, Chrome.

Sin embargo, este método no cubre el núcleo central del software Android y ni puede arreglar el virus descubierto por Rapid7. El director de ingeniería de producto de Mobilesafe, el software de protección de dispositivos móviles de Rapid7, Dirk Sigurdson , afirma que los dispositivos adquiridos a empresas que no son Google no se pueden considerar seguros. "Lo mejor que puedes hacer ahora es comparar dispositivos de la edición Google Nexus o Google Play, que se actualizan mucho más rápidamente con las últimas actualizaciones de Android", afirma.

Desde que el software se lanzó en octubre de 2008, se han activado más de mil millones de dispositivos con Android, según Google. Los dispositivos Android no se ven tan acosados por el malware como los PCs y el uso de las tiendas de aplicaciones ayuda a limitar la difusión del código malicioso, pero aún así, la incidencia del malware no para de crecer y se espera que empeore de forma significativa (ver "Se intensifican los ataques a dispositivos Android" y "El 'malware' se pasa del PC a los dispositivos móviles").

Después de que el sistema operativo Windows de Microsoft fuera víctima de una amplia variedad de malware, la empresa estableció un sistema por el cual las actualizaciones de seguridad se desarrollaban y distribuían a los PC s constantemente. Apple usa un modelo parecido para mantener sus dispositivos móviles actualizados. En septiembre pasado, por ejemplo, sólo una semana después de descubrirse un virus que permitía pasar la pantalla de bloqueo de un iPhone, la empresa sacó un arreglo.

Según el consultor en seguridad Graham Cluley, ese método también podría ayudar a Android, pero es poco probable que sea algo que interese a Google dado que regala Android y permite a los fabricantes de dispositivos y operadores móviles modificar el software. "Sospecho que el problema fundamental es que no controlan el hardware y el software", afirma. "Aunque todos estos dispositivos funcionan con Android, cada uno tiene su versión modificada con sus correspondientes interfaces de usuario y añadidos".

Uno de los motivos por los que las empresas no pasan las actualizaciones de Google a Android en la actualidad es que hay que trabajar para asegurarse de que esas modificaciones siguen funcionando correctamente en una versión nueva. Las actualizaciones automáticas podrían cargarse las propias modificaciones de Android hechas por la empresa, explica Cluley.