Las actualizaciones de seguridad de Google, ¿qué son, para qué valen y cómo llegan?
Las actualizaciones de seguridad de Google pueden ser la solución a muchos problemas: parches que solucionan agujeros de seguridad antes de ser explotados.
23 diciembre, 2015 13:11La seguridad es uno de los campos que Android debe reforzar, y las actualizaciones de seguridad de Google pueden ser la solución a muchos problemas: parches rápidos que solucionan agujeros de seguridad antes de ser explotados.
Android quiere entrar en terrenos como las empresas y los gobiernos, pero para hacerlo debe hacer sus deberes en un apartado que no hace más que dar dolores de cabeza a Google, la seguridad. Como ya comentamos anteriormente, siempre va a haber fallos de seguridad, lo importante es la velocidad con las que se solucionan, y Google tenía un gran problema haciendo llegar actualizaciones a todos los dispositivos Android por la dejadez de los fabricantes.
Por suerte, y ante el auge de fallos de seguridad como Stagefright, todos los fabricantes se pusieron de acuerdo en algo: hay que actualizar esos fallos de seguridad cuanto antes, con independencia de la versión de Android que estemos utilizando, y con ese objetivo han surgido las actualizaciones de seguridad.
¿Qué son las actualizaciones de seguridad de Google?
Las actualizaciones de seguridad de Google son correcciones de fallos que han llevado a una vulnerabilidad, a un fallo de seguridad, que no se pueden corregir por otros medios, como actualizando los Google Play Services.
Antes de continuar, hay que aclarar que estas actualizaciones de seguridad no son el único mecanismo que emplea Google para corregir fallos de seguridad. Los fallos encontrados en Android se clasifican según su severidad, y los chicos de Google utilizan el siguiente criterio para establecer una severidad a cada agujero de seguridad.
Clasificación de fallos de seguridad de Android, según su importancia
Clasificación | Consecuencias de la explotación del fallo |
---|---|
Vía > Android Security | Última actualización: diciembre de 2015 | |
Crítico | -> Ejecución de código remoto con privilegios (ejecución en un nivel de privilegios que las aplicaciones de terceros NO pueden conseguir con la instalación) -> Comprometer permanentemente el dispositivo de forma local (el dispositivo no puede ser reparado sin re-flashear por completo el sistema operativo, comprometiendo el arranque seguro o el TTE (Trusted Execution Environment) -> Ataque de denegación de servicio remoto y permanente (el dispositivo es inoperable, de forma permanente o requiriendo re-flashear por completo el sistema operativo) |
Alto | -> Ejecución de código remoto sin privilegios (ejecución en un nivel de privilegios que las aplicaciones de terceros SÍ pueden conseguir con la instalación) -> Acceso local a los datos del sistema sin permiso -> Ataque de denegación de servicio local y permanente (el dispositivo es inoperable, de forma permanente o requiriendo re-flashear por completo el sistema operativo) -> Ataque de denegación de servicio remoto (reinicios o apagados remotos) |
Moderado | -> Acceso al nivel de permisos "peligrosos" sin permiso por parte de una aplicación instalada en el dispositivo -> Ataque de denegación de servicio local y temporal (sólo se resuelve restaurando de fábrica el dispositivo) |
Bajo | -> Acceso al nivel de permisos "normales" sin permiso por parte de una aplicación instalada en el dispositivo -> Ataque de denegación de servicio local y temporal (puede ser resuelto reiniciando el dispositivo en modo seguro y borrando la aplicación problemática) |
Según la clasificación que se le haya dado al fallo de seguridad, se toman unas medidas u otras para solucionarlo. Entre ellas, y reservada para los casos que tengan una clasificación de moderado o superior, están las actualizaciones de seguridad de Google.
Cuando se arreglan estas vulnerabilidades moderadas, altas, o críticas en AOSP, se notifica a todos los miembros de la Open Handset Alliance con los detalles, y se les proporciona parches de seguridad para las últimas 3 versiones de Android.
Esto quiere decir que, además de Marshmallow (6.0), KitKat (4.4) y Lollipop (5.0/5.1) también tienen un parche por parte de Google a día de hoy, aunque esto cambiará cuando Google saque una nueva versión para Android, sin contar las versiones menores.
¿Cómo llegan las actualizaciones de seguridad a mi Android?
El procedimiento siempre es el mismo: las actualizaciones se producen normalmente vía OTA, se descargan e instalan desde el propio dispositivo, sin necesidad de que otros dispositivos como un ordenador intervengan. Es vital para que estas actualizaciones se realicen con rapidez, y el sistema ya establecido para las actualizaciones habituales funciona en estos casos.
Eso sí, la cosa cambia según cual sea nuestro fabricante, porque podemos encontrarnos con dos casos.
- Si tenemos un dispositivo Nexus | Seremos los primeros en tener estas actualizaciones de seguridad, dado que proceden directamente del equipo de Google Nexus. Además de las habituales OTAs, explicadas justo encima, también tenemos las imágenes de fábrica disponibles para nuestros uso, cortesía de Google.
- Si tenemos un dispositivo NO Nexus | La actualización depende de nuestro fabricante, quien ha recibido el parche correspondiente de manos del equipo de seguridad de Google. Depende de su compromiso a actualizar sus dispositivos por motivos de seguridad, y de lo que tarde en adaptar el parche a su dispositivo.
¿Cómo consulto qué actualización de seguridad de Google tengo en mi Android?
Si tienes una actualización de seguridad de Google instalada, dentro de «Información del dispositivo» en Ajustes debería especificar qué versión tienes, como puedes ver en la cabecera de este artículo. Recuerda que esto no funciona con números; siempre nos indicará la fecha del mes que corresponda.
¿Para qué sirven estas actualizaciones de seguridad?
Estas actualizaciones, como venimos contando a lo largo del artículo, sirven para arreglar fallos de seguridad con una importancia considerable. No arreglan fallos de rendimiento o hacen pequeños retoques, sólo arreglan fallos de seguridad, no esperéis funciones nuevas al actualizar con uno de estos parches.
Por suerte, Google es muy abierta en cuanto a estas actualizaciones de seguridad, y no sólo cuenta a los socios de la OHA qué ha cambiado; cuentan con una página en la que vienen relatados los fallos arreglados, clasificados por mes. También podemos ver a qué mes corresponde cada actualización, y la fecha en la que la actualización se hizo pública para los dispositivos Nexus.
¿Por qué son importantes las actualizaciones de seguridad?
Como ya os hemos contado millones de veces, no existe un sistema operativo a prueba de fallos: cualquier sistema va a tener fallos, por mínimos que sean, que irán surgiendo con el tiempo. Lo importante es que esos fallos se corrijan nada más se descubren, intención que Google tiene con estos parches de seguridad.
El problema es que volvemos a lo mismo de siempre: la única que actualiza sin pegas termina siendo Google, el resto de fabricantes pueden dejar a sus dispositivos tirados en la cuneta, tanto en actualizaciones de sistema como en actualizaciones de seguridad, por muchas facilidades que ponga Google para que actualicen.
Google se pone las pilas en seguridad ¿Le seguirá el resto de fabricantes?
Como ya nos comentó Enrique en el artículo que tenéis justo encima, son muchas las marcas que se han sumado al llamamiento de Google; lo importante ahora es que mantengan su presencia en este pacto, y que mantengan un ritmo de actualizaciones rápido y estable. Android puede ser un sistema seguro, pero requiere del trabajo de todos.