¿Android es seguro?
No existe un sistema a prueba de cualquier ataque: la clave está en lo rápido que lleguen los parches, y Android cojea demasiado en ello.
30 julio, 2015 22:30No existe un sistema a prueba de cualquier ataque, y la clave está en lo rápido que lleguen esas actualizaciones para arreglar los fallos. Y, como han revelado los últimos fallos de seguridad que han saltado a los titulares, no podemos decir que Android esté a la cabeza. ¿Android es seguro de verdad, o es todo lo contrario?
Creo que no hace falta que os hablemos de Stagefright en estos momentos, más conocido como el fallo garrafal de los MMS que sirve como puerta a amigos de lo ajeno: un exploit que, gracias a la descarga -automática en muchos casos- de los MMS, consigue colarse y hacerse con el control completo de nuestro dispositivo. Tenéis mucha más información en el siguiente artículo.
Un grave exploit a través de los MMS afecta al 95% de los usuarios Android
Sin embargo, en Trend Micro han descubierto otro fallo que tiene tela: una vulnerabilidad que deja inutilizado nuestro Android -con fallos en el sonido, bajadas de rendimiento notables e imposibilidad de encender la pantalla- al intentar reproducir un archivo MKV mal formado, ya esté alojado en el dispositivo, ya esté reproduciéndose a través del navegador.
Aparte de la publicidad a las herramientas de seguridad de Trend Micro, dieron a conocer el problema a Google el 15 de mayo, cosa a la que Mountain View ha respondido marcando la vulnerabilidad con prioridad baja y el nombre de ‘ANDROID-21296336’. Si estáis afectados, lo mejor que podéis hacer es reiniciar vuestro Android en modo seguro, y dar con la aplicación (o página web) que esté tocando las narices.
Conociendo todos estos fallos en un periodo tan corto de tiempo, el pensamiento que está pasando por la cabeza de muchos es comprensible: Android es inseguro a primera vista, corramos antes de que violen a nuestros caballos y escapen en nuestras mujeres. Pero no es tan sencillo como eso, porque, a pesar de todas esas herramientas y teléfonos «ultraseguros» que se anuncian como tal, no existe un sistema a prueba de todo.
Google Play Services y la fragmentación: el gran problema
Sin irnos más lejos, Apple también se lleva unos cuantos fallos de seguridad en cada versión de iOS, no hace falta que os recuerde la fama que tiene Windows -ahora que es un único núcleo para todos los dispositivos-, e incluso BlackBerry los ha sufrido de vez en cuando. Todos los sistemas tienen fallos de seguridad, el asunto es encontrarlos más tarde o más temprano.
Donde está lo importante, cosa que en BlackBerry saben muy bien, es en resolver esos fallos en cuanto se descubran, y no dar tiempo a que un atacante pueda explotarlo. BlackBerry y Apple tienen el control sobre hardware y software, así que sacar una actualización que llegue a todos es algo relativamente sencillo. Microsoft, aunque permita que terceros trabajen con Windows Phone, también mantiene un control estricto sobre el sistema de actualizaciones.
Actualizaciones en Android: tarde, mal y nunca
Y aquí, amigos, es donde nos encontramos el problema con Android: para muchos fabricantes, todo esto de las actualizaciones es un cachondeo. Teléfonos y tablets que se actualizan medio año después de que haya salido la última versión, fabricantes que se olvidan de un buque insignia en cuanto sacan el siguiente… ya estamos familiarizados con la llamada fragmentación, por desgracia. Sólo unos pocos fabricantes tienen el -dudoso- honor de no entrar en ese saco y actualizar a tiempo.
¿Te imaginas que los parches de Windows tuvieran que pasar por el fabricante de tu ordenador, y tu ISP, antes de que te lleguen? ¿Y que a nadie le importara? Se llama Android. (Nicholas Weaver vía Motherboard)
Google no es ajena a este problema, y lo ha estado paliando a su manera: con los Google Play Services que están en todos los dispositivos Android con aplicaciones de Google, y moviendo todas esas aplicaciones a Google Play para permitir actualizaciones rápidas, cosa que los fabricantes también están haciendo con las de sus capas de personalización.
El problema viene con fallos como Stagefright: no es suficiente con esos sistemas de actualización, hay que actualizar el sistema operativo. Y Google, teóricamente, ya ha mandado los correspondientes parches a los fabricantes y operadoras, ahora está en sus manos actualizar. Algo que, si nos ponemos en el peor de los casos, no van a llegar jamás.
La diversidad, fortaleza y debilidad para Android
Esa diversidad que Google utiliza como insignia para Android se ha terminado volviendo un arma de doble filo: podemos elegir lo que queramos y se adapte a nuestro uso, sí, pero eso hace que tengas que dejar tu plataforma en manos de terceros. Google sólo tiene a sus Google Play Services como herramienta de presión de cara a los fabricantes: Android es código abierto y cualquiera puede utilizarlo. Incluso hemos llegado al punto de que fabricantes de SoCs no liberan el código necesario para que los fabricantes actualicen. MediaTek, Nvidia, os estoy mirando a vosotras.
Por suerte, esa diversidad de Android también nos trae cosas buenas, como las ventajas que aporta el código abierto: hay cientos de ojos revisando el código de AOSP, y es más fácil encontrar fallos en comparación a sistemas cerrados a los ojos de terceros. Una de las cosas que más se valoran de cara a la seguridad es contar con auditorías externas del código, algo que pudimos comprobar con las aplicaciones de mensajería, y que hacen un buen número de voluntarios en Android con el código que cualquiera puede ver.
Además -y no quiero que me malinterpretéis con este comentario-, este tipo de ataques no le ocurren a cualquiera: los atacantes no pierden el tiempo atacando teléfonos al azar, suelen tener unos objetivos muy concretos en los que saben que pueden sacar un beneficio.
Google necesita esas actualizaciones para convencer
No digo que la privacidad no nos deba de importar -es más, debería de ser uno de los aspectos más importantes de un sistema-, sólo digo que deberíamos esperar un poco antes de ponernos el gorrito de papel de plata. Y qué decir si manejas datos confidenciales, ya deberías estar habituado a los métodos para evitar filtraciones y el espionaje industrial.
En cualquier caso, la conclusión a la que llegar con todos estos datos es simple: Google tiene que mejorar mucho la seguridad en Android, mejorando ese sistema de actualizaciones que tanto criticamos por todos lados. No sólo vale que los Nexus y cuatro gatos se actualizan, si terminas con un buen montón de dispositivos que no se actualizarán nunca, y que serán vulnerables siempre.
Es más, la compañía debería plantearselo mucho más en serio si quieren entrar de una vez en el mundo empresarial: compañías como RIM (BlackBerry) se ganaron en su momento la confianza de las empresas por méritos propios, y ninguna va a querer dar el salto a un sistema con fallos de seguridad y parches que no lleguen nunca. Y tampoco los usuarios de a pie van a querer utilizar un sistema con posibles ataques contra su privacidad, por muy pequeña que sea esa posibilidad.