Emitieron nueva advertencia del gobierno para actualizar los teléfonos móviles
A los usuarios de Android se les termina de dar otra razón urgente para actualizar sus teléfonos, y la agencia de ciberseguridad del gobierno de EE. UU. advirtió que una vulnerabilidad últimamente revelada por Google está bajo ataque. La data límite a fin de que esa actualización se instale es el veintiocho de noviembre, lo que les da a los usuarios menos de 3 semanas para hacerlo.
“Android Framework contiene una vulnerabilidad no concretada que deja la escalada de privilegios”, advierte CISA, y demanda a todos y cada uno de los empleados federales “aplicar mitigaciones conforme las instrucciones del distribuidor o suspender el uso del producto si las mitigaciones no están libres”. Este es solo el último de una serie de días cero de Android este año, y aunque la advertencia de actualizar o dejar de emplear su teléfono es extrema, el hecho de que los teléfonos estén bajo ataque amplifica el peligro ya grave que representan los teléfonos celulares de los empleados para los sistemas empresariales.
Como siempre y en todo momento, aunque el orden formal se aplica solo a los empleados federales, las advertencias de CISA se aplican de forma considerablemente más extensa, dado su orden “asistir a cada organización a administrar mejor las vulnerabilidades y sostener el ritmo de la actividad de amenazas”. El catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se sostiene a fin de que las organizaciones lo usen “como entrada a su marco de priorización de administración de vulnerabilidades”.
Solo han pasado tres días desde el instante en que Google descubrió CVE-dos mil veinticuatro-43093, advirtiendo que “hay rastros [it] puede estar bajo explotación limitada y dirigida”. La buena nueva para los usuarios de Pixel y Samsung es que ahora se está incorporando como una parte de sus actualizaciones de seguridad mensuales periódicas. Otros fabricantes de equipos originales van a hacer lo mismo: revise su teléfono.
Debe cerciorarse de que la actualización se instale cuando se descargue en su dispositivo. Aquellos que reciben actualizaciones menos mensuales tienen un inconveniente hasta su próxima actualización. Es esencial que tengas esto en cuenta cuando emplees tu teléfono. Aquellos que no tienen ningún contrato de soporte actual deben estimar meridianamente las ventajas de una actualización.
Este no fue el único parche de día cero en la actualización de noviembre de Android. CVE-dos mil veinticuatro-43047 asimismo está bajo ataque activo. Esta vulnerabilidad que afecta a múltiples conjuntos de chips de Qualcomm asimismo se ha solucionado, si bien no para todos y cada uno de los OEM. Al instante de redactar este artículo, esto aún no está incluido en el lanzamiento formal de Samsung, y el fabricante de Galaxy advierte que “algunos parches que se van a recibir de los distribuidores de chipsets pueden no estar incluidos en el bulto de actualización de seguridad del mes. Se incluirán en los próximos bultos de actualizaciones de seguridad tan pronto como los parches estén listos para su entrega”.
Le pregunté a Samsung en qué momento se solventaría esto y la compañía me afirmó que “se toma muy de verdad los inconvenientes de seguridad”. Estamos al tanto del informe sobre posibles vulnerabilidades en ciertos conjuntos de chips de Qualcomm y hemos estado trabajando con Qualcomm para abordar este inconveniente. Hemos empezado a incorporar actualizaciones de seguridad desde octubre, mas posiblemente se prosigan publicando actualizaciones en una data siguiente, lo que cambiará conforme el distribuidor o modelo de red. Siempre y en toda circunstancia aconsejamos que los usuarios sostengan sus dispositivos actualizados con las últimas actualizaciones de software”.
Esta vulnerabilidad de Qualcomm desencadenó su advertencia CISA con un orden de actualización para el mes pasado que todos y cada uno de los usuarios habrán pasado por alto. No obstante, es esencial que se actualicen cuanto antes para solventar lo que podría ser una amenaza aún más desapacible que la última falla del sistema Android. De nuevo, los usuarios deben tener precaución al emplear teléfonos celulares sin parches con sistemas empresariales, y deben tener doble cuidado en lo que se refiere a lo que hacen click, instalan y abren hasta el instante en que se actualicen. Dicho esto, la realidad es que cualquier usuario que conecte teléfonos a sistemas empresariales siempre y en todo momento debe tener precaución.
En su reciente informe sobre amenazas móviles de dos mil veinticuatro, Zimperium advirtió que el ochenta y tres% de los sitios de phishing fueron diseñados particularmente para apuntar a dispositivos móviles y que un setenta% de las compañías “no resguardan apropiadamente los dispositivos personales usados con fines laborales”, con un preocupante “noventa%”. de los ciberataques triunfantes se producen en dispositivos terminales [and] El setenta y uno% de los empleados aceptó haber efectuado acciones que sabían que eran riesgosas”.
Como tal, se aconseja a todas las compañías que prosigan el orden de CISA cuando se sepa que se ha explotado una vulnerabilidad y se cercioren de que los empleados actualicen este mes. Los usuarios familiares deben continuar exactamente los mismos consejos por exactamente las mismas razones.