Core Security reportó una grave vulnerabilidad a Google el pasado mes de septiembre, informando a la compañía que cualquier atacante puede hacer un DoS (denial of service) o reiniciar el dispositivo.
La compañía informó de este bug el 26 de septiembre y Google confirmó que lo había recibido. Core Security declaró que publicaría todos los detalles el 20 de octubre. Antes de que llegara esa fecha, el equipo de seguridad de Android se puso en contacto de nuevo con ellos afirmando que el bug era de “baja intensidad” y que no tenían una fecha exacta de cuando lo solucionarían.
La compañía de seguridad decidió entonces esperar y no publicar los detalles de esta vulnerabilidad y marcó como fecha límite el 26 de enero. Nuevamente, Google parece no haber querido o podido solucionar este problema que afecta a muchísimos terminales. Como Nexus 4 y Nexus 5 con Android 4.4.4 KitKat, LG D806 y Samsung SM-T310 con Android 4.2.2, y Motorola RAZR HD con Android 4.1.2.
Se relaciona este bug con el uso de una versión modificada de *wpa_supplicant*, componente que se utiliza para manejar el intercambio de información en Wi-Fi Direct (norma que permite que varios dispositivos Wi-Fi se conecten entre sí sin necesidad de un punto de acceso intermedio).
(Threatpost)
