¿Mi teléfono Android es vulnerable, pero no hay actualizaciones?

Navega tus respuestas
55

Compré el nuevo HTC Desire 526G con sistema operativo 4.4.2 (Kitkat), todo es como debería ser (no rooteado), por lo que aún está en la configuración de fábrica.

Pero ahora no recibí actualizaciones de seguridad durante mucho tiempo, he revisado manualmente en system updates y dice: There are no updates available for your phone.

Si verifico mi versión de Android, dice: 4.4.2 & Nivel de parche de seguridad de Android: 2016-01-01 , pero al mismo tiempo, si voy a los detalles del CVE, encontré una gran cantidad de vulnerabilidades para este sistema.

También instalé X-Ray de Duo Security para verificar si mi sistema es vulnerable a cualquier vulnerabilidad y me dio resultados positivos. como resultado, mi dispositivo es vulnerable a diferentes.

¿Qué puedo hacer en mi situación? ¿Cómo puedo actualizar mi dispositivo Android para protegerlo de vulnerabilidades conocidas públicamente?

    
pregunta user134969 25.06.2017 - 05:35
fuente

3 respuestas

59

Básicamente, estás preguntando qué hacer si estás utilizando un software que se sabe que es vulnerable pero que no hay actualizaciones disponibles. Este es un problema que no se limita a los teléfonos Android, pero lo encontrará en todas partes, por ejemplo, en dispositivos IoT como enrutadores o cámaras, pero también con software en la PC que solo recibe asistencia por un tiempo limitado.

La respuesta debe ser obvia: reemplace el software (o dispositivo) con uno que no tenga vulnerabilidades conocidas (y siga recibiendo actualizaciones) o reduzca el riesgo de infección al disminuir la superficie de ataque.

En el caso de un teléfono con Android, la mejor opción probablemente sería obtener un software alternativo y aún compatible como LineageOS. Si no hay un software alternativo compatible con su dispositivo, es posible que necesite obtener un teléfono nuevo con un software aún compatible y esta vez con suerte de un proveedor conocido por un mejor soporte.

Si nada de esto es posible o si los costos no coinciden con el riesgo asumido, podría disminuir la superficie de ataque para reducir el riesgo de una explotación en su dispositivo. Esto se puede hacer al no tener conexión de red (ni móvil, WiFi ni Bluetooth) y eliminar todas las aplicaciones que realmente no necesita. En caso de que tenga una raíz en el teléfono, también podría instalar algún servidor de seguridad en él para restringir el tráfico de red a solo unas pocas aplicaciones seleccionadas.

Tenga en cuenta que no existe una seguridad perfecta incluso con el software compatible. La cantidad de esfuerzo y costo que invierte para su protección depende mucho de lo que necesita proteger. Si no hay datos confidenciales en el dispositivo, puede aceptar un riesgo limitado al usarlos en una red móvil y tal vez en una red WiFi restringida (de modo que no pueda utilizarse para explotar otros sistemas en su red doméstica). Si, por el contrario, tiene datos confidenciales en el dispositivo, probablemente debería invertir más y obtener un dispositivo aún compatible de un proveedor con actualizaciones rápidas.

    
respondido por el Steffen Ullrich 25.06.2017 - 07:44
fuente
18

Este es un problema generalizado con casi todos los proveedores de teléfonos Android.

Sospecho (solo sospecha, me temo) que lo hacen para aumentar las ventas de sus nuevos modelos. He intentado contactar a los proveedores y he recibido respuestas que varían desde "por favor espere, hay una actualización en camino" (no, no fue así), a "ya no estamos lanzando actualizaciones para ese viejo modelo" (si esto es así). el caso, la mayoría de las veces el vendedor simplemente no responde).

Sus opciones:

  • bailar con sus canciones, comprar un teléfono nuevo (repita esto todos los años aproximadamente)
  • si su teléfono lo admite, ponga un sistema operativo personalizado en (CyanogenMod o similar) (pero luego, ¿por cuánto tiempo las actualizaciones de soporte del sistema operativo personalizado en su teléfono antiguo?)

Me temo que nosotros (los consumidores) no somos los ganadores en este juego.

    
respondido por el Sas3 25.06.2017 - 05:44
fuente
8

Ahora es un poco tarde para ti (me imagino), pero como fanático de Android me aseguro y solo compro teléfonos de fabricantes que sé que proporcionan actualizaciones de seguridad periódicas. En el pasado, tuve teléfonos que recibieron efectivamente actualizaciones de seguridad cero durante la vida útil del dispositivo, y no quería tener que preocuparme por eso otra vez.

Para ser claros, la razón por la que esto sucede es porque Android es un sistema de código abierto utilizado por los fabricantes de teléfonos, y no hay absolutamente nada que los obligue a actualizar sus teléfonos de manera oportuna. Muchos fabricantes hacen sus propios cambios sobre el sistema android, lo que significa que una actualización no es una simple cuestión de pasar las actualizaciones de Google. En su lugar, tendrían que incorporar cualquier cambio en el sistema Android a sus propias compilaciones, verificar que todo sigue funcionando y luego implementar los nuevos paquetes. Puede ser un proceso costoso y que consume mucho tiempo (a menos que el fabricante lo planifique de antemano), y el hecho es que a la mayoría de las personas no les importa. Por lo tanto, hasta que no exista un impulso claro por parte de los consumidores para obtener actualizaciones periódicas y una mejor seguridad, no va a suceder. Para ser claros, ese nivel de demanda impulsada por el consumidor nunca va a suceder.

Aquí hay una lista (bastante) reciente de dispositivos que realmente obtienen actualizaciones:

enlace

También, aquí hay un artículo que te da una idea de cómo se ve el estado de cosas, y el hecho de que incluso Google no está muy contento con eso:

enlace

Téngalo en cuenta la próxima vez que obtenga un teléfono nuevo. Mientras tanto, las otras respuestas aquí tienen algunos consejos excelentes para este momento.

    
respondido por el Conor Mancone 26.06.2017 - 17:05
fuente

Lea otras preguntas en las etiquetas

sales secretas; ¿Por qué frenan al atacante más que a mí? ¿Es una buena idea usar todo el rango Unicode para generar una contraseña aleatoria en lugar de rangos limitados? [duplicar]