Google arregló una falla crítica de cifrado encontrada en sus teléfonos Pixel, Pixel 2 y Nexus esta semana junto con la entrega de otras 49 correcciones, parte de su Boletín de Seguridad de diciembre de Pixel/Nexus.

Cinco de los parches se relacionan con vulnerabilidades clasificadas como altas. Uno de los parches (CVE-2017-13167) es para una vulnerabilidad de elevación de privilegios y otros cuatro podrían abrir la puerta para un ataque de denegación de servicio, según Google.

El único parche crítico (CVE-2017-14907) está relacionado con un error en "componentes del código de Qualcomm" que debilita la robustez criptográfica de los teléfonos mientras deriva una clave de cifrado del disco, afirmó Google.

Una descripción de las vulnerabilidades comunes (CVE-2017-14907) del error de cifrado dice : "En Android para MSM, Firefox OS para MSM, QRD Android, con todas las versiones de Android de CAF que usan el kernel de Linux, la robustez criptográfica se reduce al derivar la clave de cifrado de disco".

Las versiones de Android CAF (firmware de Android personalizado) son ramas personalizadas del kernel de Linux desarrolladas para admitir chipsets de Qualcomm. Los chips MSM de Qualcomm son procesadores hechos para teléfonos de gama alta y modelo antiguo. Y Android para MSM, Firefox OS para MSM y QRD (Diseño de referencia de Qualcomm) Android son proyectos de Android que amplían el soporte para los chips Qualcomm MSM.

De acuerdo con aquellos que están familiarizados con el error de cifrado, la vulnerabilidad fue descubierta, arreglada y Qualcomm lanzó una actualización a clientes y socios en mayo. Qualcomm se negó a comentar sobre la vulnerabilidad.

El Boletín de seguridad de Pixel/Nexus coincidió con el lanzamiento del Boletín de seguridad de Android de Google. Un total de 47 vulnerabilidades y parches se enumeraron en ese informe, con 10 puntos críticos de gravedad.

"El más grave de estos problemas es una vulnerabilidad de seguridad crítica en Media Framework que podría permitir a un atacante remoto usar un archivo especialmente diseñado para ejecutar código arbitrario dentro del contexto de un proceso privilegiado", según el boletín.

Google enumera las vulnerabilidades críticas del marco de medios (CVE-2017-0872, CVE-2017-0876, CVE-2017-0877, CVE-2017-0878 y CVE-2017-13151) que crean condiciones favorables para un ataque de ejecución de código remoto en teléfonos Android. Los códecs de Media Framework impactados son libmpeg2, libhevc, libavc y libskia.

El boletín de Android de Google también advierte sobre cuatro vulnerabilidades críticas de componentes de Qualcomm, tres de las cuales también están vinculadas a condiciones de ejecución remota de código. Otros proveedores mencionados en el boletín de Android son Broadcom, Kernel, MediaTek y NVIDIA.

Los parches son entregados por los fabricantes de teléfonos móviles y Google invita a los clientes a aceptar y aplicar los parches de seguridad a sus dispositivos.

Artículos relacionados:

• La vida después de WannaCry
• Concienciar para prevenir