El navegador web en Android 4.3 y versiones anteriores tiene muchos problemas importantes de seguridad, y Google ya no lo arreglará. Si está utilizando un dispositivo con Android 4.3 Jelly Bean o anterior, debe tomar medidas.
Este problema se resuelve en Android 4.4 y 5.0, pero más del 60% de los dispositivos Android están bloqueados en dispositivos que no recibirán ninguna corrección de seguridad.
Por qué Google ya no corrige el navegador Android 4.3
Las actualizaciones del sistema operativo Android son un desastre. Los fabricantes ofrecen una gran cantidad de teléfonos diferentes y cambian considerablemente el código. Google ne peut pas simplement mettre à jour le système d’exploitation de votre appareil – il ne peut qu’émettre un nouveau code et espérer que le fabricant de l’appareil et votre opérateur de téléphonie mobile feront le gros du travail pour vous l’ obtener.
Tradicionalmente, la mayoría de los componentes de Android se han integrado a nivel del sistema operativo. Esto incluye el navegador web integrado, llamado «Navegador». Es importante tener en cuenta que el navegador en sí y el renderizador subyacente están integrados en el sistema operativo. El motor del navegador se utiliza en todas las aplicaciones de Android que utilizan un navegador web integrado, conocido como «WebView».
Este navegador integrado se basa en una versión anterior de WebKit, y recientemente se descubrió y se informó a Google de una falla grave. Google no tiene forma de proporcionar una actualización directamente a los usuarios de Android para resolver este problema. Debe solucionarse mediante una actualización del sistema operativo, lo que requiere que los fabricantes y operadores de dispositivos hagan el trabajo.
Desafortunadamente, incluso cuando Google lanzó el código de actualización de seguridad para el navegador de Android 4.3, es posible que muchos fabricantes de dispositivos ni siquiera hayan enviado las correcciones a sus usuarios. La única ventaja es que muchos dispositivos Android vienen con Google Chrome y los usuarios están seguros cuando usan Chrome en estos dispositivos, pero, nuevamente, no cuando usan otras aplicaciones con navegadores web integrados.
La mayoría de los usuarios de Android están atascados, pero se corrigió Android 4.4 y versiones posteriores
Google ha estado trabajando para que las actualizaciones del sistema operativo Android sean menos importantes, eliminando más funciones del sistema operativo principal para que puedan actualizarse a través de Google Play. En Android 4.4, los fabricantes de dispositivos pueden actualizar rápidamente el navegador integrado con un pequeño parche. En Android 5.0, Google actualiza el navegador directamente a través de Google Play.
Pero más del 60% de los dispositivos ejecutan Android 4.3 y versiones anteriores, según las propias cifras de Google. Google no ha lanzado un «parche» para Android 4.3, pero, si lo hicieran, dependería de los fabricantes de teléfonos y los operadores de telefonía móvil implementarlo. Realmente, Google ve la actualización de dispositivos a Android 4.4 como la solución, y los fabricantes de dispositivos deberían estar trabajando en eso.
No queremos absolver a Google aquí. Construir el navegador profundamente en el sistema operativo para que no se pueda actualizar rápidamente para corregir los agujeros de seguridad fue una decisión terrible, y solo podemos estar agradecidos de que ahora hayan cambiado la forma en que funcionan las versiones modernas de Android. Los fabricantes de dispositivos y los operadores de telefonía móvil merecen una gran responsabilidad por no actualizar los dispositivos rápidamente. Si compró un teléfono con un contrato de dos años, ¡al menos deberían actualizar el dispositivo con actualizaciones de seguridad durante la duración del contrato!
Cómo mantenerse seguro en Android 4.3 y versiones anteriores
Pero no es solo un debate interesante entre Google y los profesionales de la seguridad en línea. La realidad es que la mayoría de los usuarios de Android utilizan un navegador web vulnerable y tú puedes ser uno de ellos. Esto es lo que puede hacer para mantenerse lo más seguro posible:
- Instale y use otro navegador web: No utilice la aplicación «Navegador» incorporada para navegar por la web. En su lugar, instale un navegador como Mozilla Firefox o Google Chrome desde Google Play. Chrome solo funciona en Android 4.0 y versiones posteriores, pero Mozilla Firefox todavía funciona en Android 2.3 Gingerbread. Estos navegadores incluyen sus propios procesadores, por lo que no utilizan el motor del navegador del sistema. También se actualizan con frecuencia a través de Google Play. Probablemente encontrará estos navegadores más rápidos que el navegador integrado si tiene un dispositivo más antiguo con un código de navegador integrado más antiguo, de todos modos.
- Evite navegar con navegadores web integrados: El simple hecho de usar un navegador de terceros no resolverá todo, ya que siempre estará en peligro si usa un navegador web incrustado en una aplicación; estos usan el «WebView» del sistema, que es vulnerable. Evite navegar con navegadores integrados si tiene una versión vulnerable de Android. Cíñete a una aplicación de navegador dedicada como Firefox o Chrome.
De hecho, Google ha recomendado a los desarrolladores de aplicaciones de Android que incluyan motores de navegador en sus aplicaciones en Android 4.3 y versiones anteriores. Esta es la única forma en que pueden asegurarse de que sus navegadores integrados sean seguros y protegidos. Este es un truco sucio en torno al código podrido del navegador en el propio Android. Esa es una recomendación bastante loca, pero los desarrolladores pueden querer tenerla en cuenta, especialmente si la seguridad es particularmente importante para la aplicación.
Entonces, ¿cuánto riesgo es eso realmente? Bueno, todavía no hemos tenido noticias de nadie que lo explote. Pero la clara señal de Google de que el 60 por ciento de todos los dispositivos Android actuales no recibirán correcciones de seguridad del navegador seguramente ha sido bien recibida por los atacantes. Esperamos que los exploits del navegador de Android terminen en varias colecciones de exploits del mercado masivo, ya que el abandono del navegador utilizado en la mayoría de los dispositivos Android por parte de Google deja un gran vacío que puede explotarse libremente sin el riesgo de correcciones.
Es un poco como los problemas de seguridad asociados con el uso de Windows XP, si Windows XP todavía estaba siendo utilizado por la mayoría de los usuarios cuando se suspendió. Sí, el ecosistema de Android es un desastre. Google debería poder obtener actualizaciones de seguridad del navegador para sus usuarios, pero no es así.