Vulnerabilidad en Wi-Fi Direct Android permite denegación de servicio

Investigadores de seguridad de Core Security han informado de una vulnerabilidad en Wi-Fi Direct Android que permite denegación de servicio DoS.

Google ha comunicado que la vulnerabilidad es de baja gravedad y por ello no tiene previsto fecha para el parche.

Se da la circunstancia que Core Security informó a Google de la vulnerabilidad en el mes de septiembre y ésta no ha proporcionado un parche hasta la fecha. Lo mismo que Google realiza con su proyecto Zero cuando revela vulnerabilidades de otros fabricantes de software como Microsoft o Apple y publica las vulnerabilidades en un plazo de 90 días, estén o no parcheadas.

Wi-Fi Direct es un estándar que permite que varios dispositivos se comuniquen mediante la norma inalámbrica Wi-Fi sin necesidad de un punto de acceso intermedio.

La vulnerabilidad permite ataques de denegación de servicio DoS al subsistema Dalvik apagando o reiniciando los terminales. Se ha comprobado que afecta a terminales como Nexus 4, Nexus 5 y otros de Motorola, Samsung o LG, con sistemas operativos 4.1, 4.2 y 4.4. Esta vulnerabilidad en Wi-Fi Direct Android no afecta a terminales con sistema operativo Android Lollipop 5.0.1 o superiores.

Ciertamente la vulnerabilidad no es grave pero abre el debate de la estrategia de revelarlas antes de parchearlas. Y esta vez le toca a Google.