10Aug
Este es un secreto sucio: la mayoría de los dispositivos Android nunca reciben actualizaciones de seguridad. El noventa y cinco por ciento de los dispositivos con Android ahora pueden verse comprometidos a través de un mensaje MMS, y ese es solo el error de mayor perfil. Google no tiene forma de aplicar parches de seguridad a estos dispositivos, y los fabricantes y operadores simplemente no se preocupan.
El ecosistema de Android se está convirtiendo en un infierno tóxico de dispositivos sin parches plagados de agujeros de seguridad. Para comparar, cuando el iOS de Apple tiene un agujero de seguridad, Apple puede actualizar todos los iPhones compatibles con una nueva versión. Incluso los teléfonos Windows son mejores que Android aquí.Los teléfonos Android
no están garantizados para obtener actualizaciones de seguridad
La reciente falla Stagefright MMS nos brinda un buen estudio de caso, demostrando lo que sucede cuando alguien descubre un agujero de seguridad en Android. Google crea parches y los aplica al código principal del proyecto de código abierto de Android. Google luego envía estos parches a los fabricantes de hardware: Samsung, HTC, Sony, LG, Motorola, Lenovo y otros. La participación de Google termina aquí.No pueden obligar a los fabricantes a liberar estos parches. Esto a menudo parece ser donde termina el proceso.
Si un fabricante desea aplicar estos parches, debe aplicarlos al código de Android de un dispositivo y crear una nueva versión de Android para ese dispositivo. Este es un proceso separado para cada teléfono y tableta que el fabricante admite. Luego, cada fabricante debe ponerse en contacto con el operador al que le vendió los teléfonos y proporcionar cada parche individual específico para cada operador en todo el mundo. La participación del fabricante termina aquí.Incluso si se vuelven locos y parchean todos y cada uno de los dispositivos que aún soportan, muy poco probable, no pueden obligar a los operadores a aplicar realmente estos parches. Los transportistas
pueden elegir enviar a sus dispositivos la nueva versión reparada de Android, o no. Si lo hacen, hay una gran posibilidad de que sea después de un extenso período de prueba donde los agujeros de seguridad continuarán perdurando. Incluso si un operador desea hacer esto, existe una buena posibilidad de que solo deseen probar la actualización en algunos teléfonos emblemáticos y no en dispositivos más antiguos.
En la práctica, la mayoría de los dispositivos Android simplemente no reciben actualizaciones de seguridad y quedan vulnerables. Google no ha elegido forzar la entrega de actualizaciones de seguridad, como hacen cumplir otras cosas en los contratos con los fabricantes. Los fabricantes crean muchos, muchos dispositivos diferentes y no quieren hacer el trabajo de actualizarlos a todos. Los operadores envían muchos, muchos dispositivos diferentes y no quieren molestarse en probarlos. En lugar de entregar actualizaciones y mantener teléfonos viejos, prefieren empujar a los clientes a comprar nuevos dispositivos. Esos agujeros de seguridad se corrigieron en las versiones más recientes de Android, por lo que un nuevo dispositivo estará seguro, al menos hasta que se encuentren más agujeros y no se remenguen.
Sí, esa función de "verificación de actualizaciones" en su dispositivo Android solo comprueba si hay actualizaciones aprobadas por el fabricante y el proveedor. No es una forma confiable de asegurarse de tener actualizaciones de seguridad. Los iPhones de
están garantizados Actualizaciones de seguridad oportunas
El modelo de actualización de Android está terriblemente roto. No se trata solo de recibir las últimas y mejores características. En cambio, no hay manera de garantizar que tenga los parches de seguridad actuales. Realmente no hay forma de saber exactamente qué agujeros de seguridad se han parcheado en su dispositivo, ya que depende de que el fabricante agregue el parche a su versión personalizada de Android y la despliegue en su dispositivo.
Google ha tratado de evitar esto con Google Play Services, que se actualiza automáticamente en todos los dispositivos Android. Pero solo puede hacer mucho. Todos los dispositivos Android con Android 4.4.4 y versiones anteriores, es decir, la mayoría de los dispositivos Android, actualmente tienen un navegador web lleno de agujeros de seguridad porque Google no puede actualizarlo. Y ahora, casi todos los dispositivos Android ahora pueden verse comprometidos con un MMS.
Realmente, esto es terrible. Imagínese si las computadoras portátiles Windows nunca recibieron actualizaciones de seguridad de Microsoft. En cambio, Microsoft emitiría parches a Dell, Lenovo, HP y otros fabricantes. El fabricante puede optar por aplicar un parche o no, y si eligieron parchearlo, ese parche debería ser aprobado por la tienda donde compró el portátil antes de que lo alcanzara. Microsoft estaría bien informado sobre los carbones para esto. En cambio, Microsoft lanza un parche y se proporciona a los usuarios de todos los modelos de PC con Windows a través de Windows Update. Incluso el propio sistema operativo Chrome de Google funciona de esta manera sin que los fabricantes se interpongan.
¿Quieres una garantía real de actualizaciones de seguridad para tu teléfono inteligente? Basta con comprar un iPhone, aunque incluso los teléfonos con Windows de Microsoft están por delante de Android aquí.Cuando se descubre un agujero de seguridad en un iPhone, Apple puede lanzar un parche a todos los usuarios de iPhone, todo a la vez, incluso los operadores no se interponen en el camino. Los permisos de
y los controles de privacidad son mejores en iOS, también
Los permisos de las aplicaciones son otro caso en que los iPhones derrotan a los teléfonos Android. Android comenzó fuerte, ofreciendo "permisos de aplicación": puede ver lo que una aplicación requiere antes de instalarla y opta por no instalarla. Los iPhones ahora cuentan con un sistema de permisos mejorado en el que puedes seleccionar y elegir a qué datos accede una aplicación.¿Necesita usar una aplicación, pero no quiere darle acceso a sus contactos u otros datos confidenciales? Puedes hacer esto en iOS.
En Android, los permisos de la aplicación son más parecidos a las demandas: tómalo o déjalo. Las aplicaciones a menudo piden muchos más permisos de los que realmente necesitan para funcionar, y nunca se sabe si el juego que instaló está cargando su lista de contactos a un servidor remoto. Google está trabajando para agregar un control de permisos a futuras versiones de Android, pero eso es muy poco, demasiado tarde. Tales funciones actualmente solo están disponibles en ROM personalizados de terceros después de que Google eliminó el administrador de permisos ocultos de Android. Los iPhones
en realidad le dan control sobre lo que las aplicaciones pueden hacer en su teléfono, exponiendo los permisos de las aplicaciones como controles de privacidad útiles que cualquiera puede entender. Esto ayuda a mantener seguros sus datos privados. En Android, solo depende de la aplicación: solo puedes controlar si usas esa aplicación o no.
La tienda de aplicaciones bloqueada de Apple se ha excedido al prohibir tipos específicos de contenido, pero solo al permitir aplicaciones de una fuente aprobada proporciona algo de seguridad adicional contra el malware. La mayoría del malware en Android proviene de fuera de Google Play, a menudo cuando un usuario descarga una aplicación pirateada y la instala. Esto no es posible sin jailbreaking un iPhone. El proceso de aprobación de la tienda de aplicaciones de iOS también es un poco más riguroso, ya que involucra a una persona que realmente prueba la aplicación en lugar de un algoritmo automatizado.
Google necesita solucionar esta situación. Es inaceptable que la mayoría de los dispositivos Android nunca reciban actualizaciones de seguridad y que se los deje vulnerables a innumerables agujeros de seguridad. Muchos dispositivos incluso tienen gestores de arranque bloqueados, lo que evitaría que usted mismo parchee el error instalando una ROM personalizada.
Sí, Android es una plataforma abierta con muchos fabricantes involucrados, pero también lo es Windows. Google necesita poner su plataforma en orden. Continuaremos presenciando brotes de seguridad cada vez más graves en Android hasta que todo el ecosistema de Android comience a preocuparse por la seguridad y se vuelva capaz de reparar los problemas de seguridad de manera oportuna y constante, como cualquier otro sistema operativo moderno.
Crédito de la imagen: Indi Samarajiva en Flickr