Google deja de proporcionar actualizaciones para Android Jelly Bean y versiones anteriores para el componente Webview

Más de 900 millones de usuarios abandonados mientras Google dice que ha dejado de proporcionar parches de seguridad para el componente Webview en Android 4.3 Jellybean y versiones anteriores

Triste pero cierto. Si eres una de esas personas que usa Android 4.3 y versiones anteriores en su smartphone y está esperando que Google parche la vulnerabilidad de la Política de Origen Mismo (SOP) de Android, bueno, no lo vas a recibir de Google.

El defecto de SOP heredado de Android, que fue descubierto por Rafay Baloch, un investigador de seguridad paquistaní, afecta al componente webview del navegador predeterminado de Android que se envía con alrededor de 930,000 smartphones que operan en Android 4.3 Jelly Bean y versiones anteriores.

La vulnerabilidad en el componente WebView ocurre al reemplazar el atributo ‘data’ de un objeto HTML dado con un esquema de URL de JavaScript. Un posible hacker podría aprovechar el defecto UXSS para extraer datos de cookies y contenidos de páginas de una ventana de navegador vulnerable.

El agujero de seguridad puede ser explotado en todas las versiones del navegador de la Plataforma de Código Abierto de Android (AOSP), que también se conoce como el navegador predeterminado o stock de Android. La vulnerabilidad existe solo en Android OS 4.3 Jellybean y versiones anteriores.

Joe Vennix de Rapid7 y Rafay colaboraron para crear un código Metasploit para esta vulnerabilidad, para que Google y otros fabricantes de smartphones pudieran parchear el defecto.

Sin embargo, no hay parches en camino. Mientras tanto, Trend Micro Labs descubrió que el código Metasploit estaba siendo explotado en la naturaleza para secuestrar cuentas de Facebook de usuarios que tenían smartphones que funcionaban con Android 4.3 Jellybean y versiones anteriores.

Ahora Rapid7 se puso en contacto con Google para parchear esta vulnerabilidad crítica y recibieron una respuesta sorprendente de Google. Google ha dejado de proporcionar parches de seguridad para Android 4.3 Jelly Bean y versiones anteriores. Esta fue la respuesta que un investigador de seguridad de Metasploit recibió de Google.

“Si la versión afectada [de WebView] es anterior a 4.4, generalmente no desarrollamos los parches nosotros mismos, pero damos la bienvenida a los parches con el informe para su consideración. Aparte de notificar a los OEM, no podremos tomar medidas sobre ningún informe que afecte a versiones anteriores a 4.4 que no vengan acompañadas de un parche.”

El sorprendido investigador de seguridad, Tod Beardsley de la comunidad Metasploit de Rapid7, informó en la publicación del blog.

“Así que, Google ya no va a proporcionar parches para 4.3. Esta es una noticia que levanta las cejas.” añadió, “Nunca he visto un programa de respuesta a vulnerabilidades que dependiera de que el reportero proporcionara su propio parche, sin embargo, esa parece ser la posición de Google. Este cambio en la política de seguridad parecía tan extraño, de hecho, que no podía creer que fuera realmente la política oficial de Google.”

Para confirmar su sorpresa, Tod siguió con la seguridad de Google y recibió una respuesta similar del equipo de seguridad de Google.

Si la versión afectada [de WebView] es anterior a 4.4, generalmente no desarrollamos los parches nosotros mismos, pero notificamos a los socios sobre el problema[…] Si se proporcionan parches con el informe o se incluyen en AOSP, estaremos encantados de proporcionarlos a los socios también.

Parece que Google ha dejado de proporcionar soporte solo para el componente Webview de las viejas versiones de Android porque cuando Tod preguntó más, le dijeron que, “el equipo de seguridad de Android confirmó que otros componentes anteriores a KitKat, como los reproductores multimedia, seguirán recibiendo parches retroportados.”

El problema es que hasta ahora, solo el componente Webview de versiones anteriores de Android se ha encontrado vulnerable, y como lo demostró Trend Micro Labs, está siendo explotado en la naturaleza. Este es el componente que debe ser parcheado en todas las versiones lo antes posible para que los usuarios de smartphones Android no sean explotados debido a la vulnerabilidad SOP.

Esto también significa que unos posibles 930 millones de smartphones están esperando ser explotados por hackers potenciales y cibercriminales. Según las últimas cifras de distribución de Android de Google, el 46 por ciento de los dispositivos Android ejecutan Jelly Bean, seguido de KitKat con un 39.1 por ciento. Los usuarios restantes de Android están en Gingerbread (versiones 2.3.3-2.3.7, utilizados por el 7.8 por ciento de los teléfonos), Ice Cream Sandwich (versiones 4.0.3 a 4.0.4, utilizados por el 6.7 por ciento) y el antiguo Froyo (versión 2.2, 0.4 por ciento).

Tod Beardsley declaró que esta es la decisión más “extraña” de Google.

Los fabricantes de smartphones que han comercializado estos smartphones en años anteriores ya no están interesados en proporcionar parches/soporte a estas versiones. Así que, quién proporcionará parches para esta vulnerabilidad crítica y protegerá a millones de usuarios de smartphones Android que tienen Android 4.3 y versiones anteriores en sus teléfonos, es un misterio.