Si tiene un teléfono Google Pixel, su teléfono está a salvo de un agujero de seguridad que podría permitir que un archivo PNG arruine completamente el sistema. Si está utilizando casi cualquier otro teléfono Android, entonces su teléfono es vulnerable. Esto es un problema.
Google recientemente lanzó la actualización de seguridad de febrero para dispositivos Pixel, que cierra un agujero que permitiría que los archivos PNG maliciosos «ejecuten código arbitrario dentro del contexto de un proceso privilegiado». En términos más simples, el código puede ejecutarse a un alto nivel y robar su información; todo lo que necesita hacer es abrir el archivo. Eso es.
Eso significa que cualquier PNG que le llegue, ya sea en un correo electrónico, un cliente de mensajería o incluso a través de MMS, podría potencialmente secuestrar el sistema y robar datos valiosos. Es decir, en cualquier teléfono que no sea un Pixel, porque ahora están protegidos. Samsung, LG, OnePlus y la mayoría de los teléfonos de otros fabricantes siguen siendo susceptibles a este error. Tenemos que empezar a exigir a los fabricantes un estándar más alto cuando se trata de actualizaciones de seguridad. Período.
Actualmente tengo cuatro teléfonos Android al alcance de la mano: Pixel 2 XL, Pixel 1, Samsung Galaxy S9 y OnePlus 6T. Los dos píxeles están parcheados y protegidos con la actualización de febrero, pero el S9 y el 6T solo están en los parches de seguridad de diciembre. Eso significa que las vulnerabilidades más recientes, como esta de PNG, por ejemplo, no están parcheadas en ambos teléfonos. Teniendo en cuenta que los dispositivos Samsung Galaxy se encuentran entre los teléfonos más populares del planeta, esto es preocupante.
Pero no es solo un problema debido al problema actual. Este es un problema dinámico que es una preocupación constante, o al menos debería serlo. Mientras haya nuevas vulnerabilidades, las actualizaciones de seguridad retrasadas siempre serán un problema. Entonces, para decirlo en términos más simples: esto siempre será un problema porque las vulnerabilidades están garantizadas.
Si bien la «fragmentación» de Android ha sido un problema durante mucho tiempo (desde que se introdujo la plataforma, esencialmente) cuando se trata de actualizaciones completas del sistema operativo, esto no debería aplicarse a las actualizaciones de seguridad. Estas no son actualizaciones de “las nuevas funciones son interesantes y las quiero”, son actualizaciones cruciales para la protección de datos. Independientemente de si son pequeños o no, esto no es algo que deba pasar por alto ningún consumidor. Nunca.
Actualmente, los fabricantes están haciendo un trabajo terrible protegiendo a sus usuarios, punto. Si bien no obtener actualizaciones completas del sistema operativo (o incluso versiones puntuales) es, en el mejor de los casos, molesto, no obtener actualizaciones de seguridad es inaceptable. Envía un mensaje que no se puede ignorar: dice que el fabricante de su teléfono no se preocupa por sus datos. Tu información no es lo suficientemente importante como para que la protejan.
Las actualizaciones de seguridad no son tan grandes como las actualizaciones completas del sistema operativo o incluso las versiones puntuales. Google los publica mensualmente, por lo que son mucho más pequeños y más fáciles de integrar en el sistema, incluso para terceros fabricantes. Una vez más, no hay ninguna excusa para no convertir esto en una prioridad.
El año pasado, Google exigió que los fabricantes ofrecen al menos dos años de actualizaciones de seguridad para teléfonos. (Los teléfonos Pixel están garantizados por tres años). ¿El problema con eso? Solo requiere «al menos cuatro» actualizaciones dentro de un año. Eso es trimestral, no mensual, y es exactamente lo que están haciendo la mayoría de los fabricantes. El mínimo indispensable. Y simplemente no es lo suficientemente bueno.
¿Por qué? Porque las nuevas vulnerabilidades están expuestas todo el tiempo. No quiero que mis datos se vean potencialmente comprometidos mientras espero que el fabricante de mi teléfono se encargue de preparar tres meses de correcciones de seguridad en una sola actualización; las quiero tan pronto como Google las publique, y usted también debería hacerlo.
Esta vulnerabilidad PNG es solo un ejemplo. Mes tras mes se descubren este tipo de problemas, y con la mayoría de los fabricantes lanzando actualizaciones de seguridad meses después, eso deja sus datos expuestos durante mucho más tiempo de lo aceptable.
Si bien desearía que hubiera una respuesta fácil sobre cómo solucionar esto, desafortunadamente, no la hay. Hasta que los fabricantes comiencen a tomar su información más en serio, solo hay una respuesta real: compre un teléfono diferente. Apple y Google han demostrado rutinariamente que se preocupan por los datos de los usuarios, por lo que los teléfonos iPhone y Pixel son excelentes opciones para los usuarios que desean hacer todo lo posible para proteger sus datos.
Tan cliché como suena (y honestamente estoy harto de escucharlo): es hora de votar con tu billetera. No compre teléfonos de fabricantes que no se preocupan por sus datos. Esa es la única forma en que sabrán que esto es serio.