Actualización crítica para los teléfonos Samsung Galaxy: llegará el mes que viene
Samsung acaba de confirmarme que habrá una nueva actualización para los dispositivos Galaxy en agosto, y es importante asegurarse de que se instale tan pronto como esté disponible para su modelo, región y operador, porque esta versión es más crítica que la mayoría.
Quizás recuerdes el Vulnerabilidad de día cero en Pixelque fue noticia en junio y llevó al gobierno de Estados Unidos a mandato Todos los empleados federales deben actualizar sus dispositivos Pixel antes del 4 de julio o apagarlos. Inicialmente, se presentó como una amenaza exclusiva de Pixel, que Google reconoció que había sido explotada en la red. Pero luego Google dio marcha atrás y advirtió que en realidad afecta a todos los dispositivos Android, incluidos los Samsung, y que trabajarían con otros fabricantes para solucionar el problema.
El mes pasado estuve dijo que una solución podría tardar tres meses o más. Pero Samsung ahora me ha sorprendido y me ha dicho que “el plazo previsto para esta solución es agosto… (aunque) esto puede variar según el proveedor de red y el dispositivo”. Eso es antes de lo esperado.
Google no publicó ningún detalle sobre la vulnerabilidad, pero GrapheneOS, el equipo detrás de la divulgación, me dijo que era la segunda parte de una solución para una amenaza reportada por primera vez en abril, que está “siendo explotada activamente por empresas forenses”.
Fue sólo después de que el lanzamiento de Pixel en junio generara titulares y la agencia cibernética de EE. UU. agregara la amenaza a su catálogo de vulnerabilidades explotadas conocidas, que Google me dijo que “después de una revisión más profunda, este problema afecta a la plataforma Android… Los dispositivos Pixel que han instalado la última actualización de seguridad están protegidos… estamos priorizando las correcciones aplicables para otros socios OEM de Android y las implementaremos tan pronto como estén disponibles”. Para los usuarios de Samsung, eso ahora es inminente.
Además de CVE-2024-32896, Graphene advirtió que una segunda vulnerabilidad que hasta ahora solo se ha corregido para los Pixel también afecta a otros dispositivos Android. “CVE-2024-29745 es el problema más grave”, me dijeron, “y se solucionó por completo en abril para los Pixel, pero otros dispositivos aún no tienen la protección”. Este riesgo en particular afecta al firmware OEM y, por lo tanto, debe solucionarse fabricante por fabricante.
Google también me confirmó que esta segunda amenaza afecta a dispositivos Android más allá de los Pixel, aunque tendría que estar vinculada a otros exploits para estructurar un ataque. Le pedí a Samsung que confirmara que esto también se abordará en agosto.
He criticado a Samsung por su enfoque de parches para las actualizaciones y por los recientes retrasos, pero esta solución es más rápida de lo que esperaba y se merecen todo el crédito por ello. Dado el riesgo de “día cero” y la advertencia del gobierno de EE. UU., los usuarios de Samsung deben tener especial cuidado de que la actualización de agosto se instale tan pronto como esté disponible.
