Los smartphones Android también son vulnerables al fallo de seguridad de los procesadores según Google

En una entrada publicada en su blog hace unos minutos, el equipo de seguridad de Google ha anunciado las medidas que ha tomado para proteger a los usuarios de sus plataformas contra la vulnerabilidad del chip que ha sido anunciada hoy.

Project Zero, el equipo de seguridad de Google, descubrió esta vulnerabilidad el año pasado (aunque no han especificado exactamente cuándo), e informó a los fabricantes de chips del problema.

El origen del problema debemos buscarlo en una capacidad de los procesadores conocida como “ejecución especulativa”. Se trata de una técnica avanzada que permite al chip tratar de adivinar cuál será la siguiente instrucción a ejecutar para acelerar su ejecución.

Lamentablemente, esa capacidad es vulnerable a programas maliciosos que podrían acceder a información crítica almacenada en la memoria, incluidas las claves y contraseñas de cifrado. 

Según Google, este problema afecta a todos los fabricantes de chips, incluidos los de AMD, ARM e Intel. En una entrada de su blog, Intel ya había aclarado que la vulnerabilidad afectaba también chips de otros fabricantes, a pesar de las primeras informaciones erróneas, pero AMD no admite que sus chips sean vulnerables.

El equipo de seguridad de Google ha explicado que empezaron a tomar medidas para proteger los servicios de Google contra el fallo tan pronto como se enteraron de ello.

Según Google, explotar este fallo en smartphones y tablets Android es complicado. La última actualización de seguridad (2018-01-05), distribuida a los fabricantes en diciembre, incluirá mitigaciones para limitar los posibles ataques y futuras actualizaciones de seguridad añadirán mitigaciones adicionales.

En cuanto al navegador Chrome, existe una funcionalidad opcional llamada Site Isolation que puede ser activada para mitigar este problema. Chrome 64, que será lanzado el 23 de enero, contendrá mitigaciones para proteger el navegador frente a este fallo.

Si te estás preguntando por qué Google no dio a conocer al público este fallo tan pronto como lo descubrió, la razón es que se suponía que iba a haber un anuncio coordinado de diversos fabricantes de hardware y software afectados el 9 de enero. Sin embargo, cuando se ha filtrado la noticia, Google, Intel y otras partes involucradas han decidido publicar la información para poner fin a la especificación.