Android y los parches de seguridad, una historia de mentiras y obligaciones

En el marco de Google I/O donde Google nos pone al tanto de sus avances tecnológicos en sus diversas plataformas,  dentro de todos los anuncios, los relacionados con Android saltan a la vista para nosotros.

Desde el año pasado con la introducción de Project Treble, Google ha puesto todo su empeño en asegurar que los usuarios tengan acceso a nuevas actualizaciones del sistema operativo móvil más utilizado alrededor del globo. Quizás usted concuerde conmigo en que el tema de las actualizaciones es bien controvertido, los fabricantes son bien malos para poner al día nuestros dispositivos; incluso para terminales de gama alta, recibir actualizaciones puede ser tedioso para muchos de nosotros.

Aunque es cierto que Project Treble ofrece facilidades, la balanza continúa en favor de los fabricantes, existe mucho código específico para nuestros terminales independientemente de Treble y por esta razón, el peso de las actualizaciones sigue estando en manos de Samsung, Xiaomi, LG, etc. Eso sí, con Treble los fabricantes tienen las herramientas en su poder para adelantar el proceso de renovación, ya no tendrán excusas respecto a este asunto. Al menos eso se creía, sin embargo hace un mes aproximadamente se destapó un estudio demostrando que en los últimos dos años los fabricantes nos habían estado mintiendo respecto a los parches de seguridad. Usted pensará: “¿es esto posible?” ¿Cómo sucedió semejante falta de información? Vamos a tomar una ruta adyacente para explicar qué ocurrió y en qué consistió el estudio.

¿Qué son los parches de seguridad mensuales?

Android es una plataforma en constante cambio, como mismo nuestro antivirus detecta objetos maliciosos, los ingenieros en Google trabajan para preveer y encontrar vulnerabilidades que afecten el correcto funcionamiento de Android. Los parches de seguridad mensuales constituyen la respuesta de Google a intentos de dañar nuestros dispositivos por parte de aplicaciones que contengan código malintencionado. Con estos datos nos surgen algunas incógnitas:

  1. ¿Cómo funcionan estos parches de seguridad?
  2. ¿Cómo llegan a otros fabricantes aparte de Google?

Primeramente Google identifica las vulnerabilidades de seguridad existentes y desarrolla una solución a los problemas. Luego Google hace llegar estas informaciones a sus socios para que ellos -al igual que Google- se preparen para realizar pruebas con las soluciones ideadas. Una vez el proceso está terminado, los fabricantes -Google incluido- “deben” hacer llegar los cambios en materia de seguridad a los consumidores. Finalmente, los cambios se ofrecen públicamente indicando los arreglos y se combinan con AOSP para que todos los desarrolladores –LineageOS por ejemplo- tengan acceso a los mismos. Los parches de seguridad actualizados se encuentran disponibles y listados desde el primer día del mes, por ejemplo “1ro de Mayo de 2018“. Este parche no es final vuelve a revisarse para encontrar errores, si son encontrados, la fecha se mueve para el día 5 del mes en cuestión y si aún así se presentan problemas, entonces se fija el día 9 como fecha final.

Entonces, ¿en qué consistió el estudio?

Un par de investigadores del Security Research Lab pasaron estos últimos dos años realizando ingeniería inversa a un total de 1200 terminales de varios fabricantes para comprobar la vericidad de los parches de seguridad provistos por estos fabricantes. El estudio encontró brechas dentro las parches de seguridad mensuales, y sí, ningún fabricante de los analizados estuvo excento de presentar problemas. Estas brechas consistían en supuestos arreglos encontrados por Google que no fueron incluidos en las actualizaciones que estos fabricantes ofrecieron a los consumidores, en ocasiones falsificando completamente el parche de seguridad simplemente cambiando la fecha del mismo en una actualización del sistema, intrigante ¿verdad?

Tomado de XDA-Developers/Security Research Lab

“¿Qué tan seguros son nuestros terminales?” Usted podrá preguntarse, otros se plantearán que la inseguridad de nuestros dispositivos afecta a los países con un acceso más generalizado a Internet. No estoy completamente de acuerdo, puesto que cada día muchos de nosotros vamos al parque más cercano a conectarnos mediante nuestro dispositivo Android -no cabe ninguna duda que la mayoría de nosotros lo hacemos- y el uso de Internet en nuestro país se ha  convertido en una creciente necesidad, que sea con una velocidad y precios aún no del todo buenos no viene al caso, sin embargo que nuestros terminales sean vulnerables a todo tipo de ataques o que por esa razón nuestros datos sean utilizados de maneras dañinas sí nos incumbe y mucho. En esto sí tienen que ver los fabricantes de dispositivos Android como el que usted tiene en su bolsillo.

Entonces, ¿son los fabricantes los principales culpables de este comportamiento? Parece sencilla la respuesta después de lo que acabamos de analizar, pero no son los únicos causantes -no se preocupe, usted no tiene la culpa aunque no se conecte a menudo- de este comportamiento carente de profesionalidad. Los fabricantes de chipsets como Qualcomm, HiSilicon, Samsung y MediaTek también deben actualizar ciertos parches de seguridad para sus chipsets. Aquí MediaTek fue el más perjudicado, evidentemente, los terminales que posean SoCs de la empresa china (independiente del fabricante del dispositivo) serán afectados porque esta empresa no suele actualizar ni en tiempo, ni correctamente sus chipsets. Esto es algo que deja a los consumidores que compraron terminales con chipsets de este fabricante al descubierto en términos de seguridad y de actualizaciones.

Tomado de XDA-Developers/Security Research Lab

Resumiendo, ¿cuál es la solución?

A raíz de estos problemas y del mal sabor que dejó en la comunidad los resultados de este estudio, Google ha tomado la decisión de requerir que los fabricantes actualicen “regularmente” los parches de seguridad mensuales. En el pasado Google nunca había requerido que los fabricantes lo hicieran, sin embargo con los recientes problemas al respecto,  se busca cambiar esto aparentemente.

El cambio ha comenzado a notarse dado que algunos terminales de gama alta podrán probar en este minuto la nueva Developer Preview de Android P aparte de los Pixels de Google, como por ejemplo el Xiaomi Mi Mix 2s.  Algunas empresas recibieron la posibilidad de hacerlo, mientras otras no pudieron. Curiosamente, las empresas que se encuentran con terminales listados para ello, son de las que menor cantidad de brechas de seguridad tuvieron y las que proveen los parches de seguridad con regularidad.

Google busca trabajar activamente con sus socios para que estos entreguen a los usuarios los parches de seguridad con la calidad que deben para continuar contribuyendo a la estabilidad de Android como plataforma para consumidores y desarrolladores.

Cabe destacar que no poseemos información respecto a cómo Google llevará a cabo estos planes, ni cada cuánto tiempo requerirá a los fabricantes que liberen las actualizaciones de los parches. Tampoco queda claro si Google intentará estar al corriente de las empresas que incurran en presentar parches de seguridad con brechas obvias, no estamos seguros respecto a las medidas que serán tomadas de encontrarse problemas con algún fabricante. Solamente podemos imaginarnos cómo serán estas situaciones para el futuro. Todas estas informaciones dan mucho que pensar cuando estemos navegando tranquilamente por Internet.

Fuente: XDA-Developers Wired

Me gustaría leer su opinión respecto al tema: ¿cuál es su consideración respecto a las actualizaciones de Android? ¿considera usted que Google ha metido las manos en el asunto un poco tarde?

Déjenos su comentario

Como siempre les pido que sean consecuentes y respetuosos con los comentarios, nada de ataques personales en contra de los Moderadores, Editores, Admnistradores ni otros lectores. De más está decir lo que pasa con los comentarios fuera de regla.

Siéntase libre de contactarme

Comparte en las redes sociales

4 comentarios de “Android y los parches de seguridad, una historia de mentiras y obligaciones

    • En el caso de Samsung es respecto a su gama de SoCs Exynos, es buena liberando parches de acuerdo con sus SoC. No es para menos dado que es el propio fabricante de los mismos.

      • Patrick, Hablando de Samsung y Exynos: Por qué veo que LineageOS da soporte para el Note 3 con exynos (SM-N900) y no para el Galaxy Note3 LTE (SM-N9005). ¿Hay alguna ROM que me recomiendes? porque fui a instalar LineageOS en un ha3g, pero me fijé y creo que para el N9005 no encontré. Lo otro es: El blog cambió visualmente hace unos días: ¿Puede que las fallas al acceder a una página se deba a eso? Porque es imposible hasta publicar comentarios. Saludos.

        • El N9005 sí tiene soporte oficial de LineageOS:
          https://download.lineageos.org/hlte
          El problema es que la variante 9005 es la que viene con el Snapdragon 800 y de ella se derivan las de compañía que son más complejas por el tema del bootloader. De cualquier manera sí tiene soporte para LOS 14.1

Responder a Luis Fernando Ceballos Sorí Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *