Seguridad de Android: preguntas y respuestas con Adrian Ludwig de Google

Hemos estado hablando mucho sobre la seguridad en su dispositivo Android recientemente, y a medida que la conversación continuó fue claro que había preguntas que una persona con mayor autoridad debía responder. Cosas como si necesita software antivirus para su teléfono, identificar malware y asegurarse de que sus dispositivos estén generalmente seguros mediante el uso diario son temas que se han vuelto innecesariamente confusos. Si bien podemos atribuir parte de la culpa de esto al aluvión aparentemente interminable de artículos que nos informan sobre todo el software que se está haciendo para explotar a los usuarios de Android, también hay algunas preguntas legítimas sobre la seguridad de Android que no tienen una simple y simple respuestas

Para ayudar a abordar esto, hemos ido directamente a la fuente. Adrian Ludwig, ingeniero principal de seguridad de Android en Google, se tomó un tiempo por correo electrónico para dar las respuestas que hemos estado buscando.

: Seguridad de Android: preguntas y respuestas con Adrian Ludwig de Google

Papel de Google

P: ¿De qué exactamente trata Google de proteger a sus usuarios de Android?

Ludwig: Diseñamos Android usando múltiples capas de seguridad: comenzando con las características de hardware del dispositivo (Trustzone, NX), a través del sistema operativo (Application Sandbox, SELinux, ASLR) y hasta las aplicaciones y servicios que proporciona Google (Google Play, Device Manager, Verificar aplicaciones, etc.). También alentamos la innovación en seguridad al permitir que terceros brinden soluciones de seguridad.

Las amenazas de seguridad más apremiantes que enfrentan los dispositivos móviles en estos días incluyen: 1. Dispositivos perdidos y robados (para los cuales brindamos protecciones como pantalla de bloqueo, encriptación de dispositivos y Administrador de dispositivos Android) 2. Ataques a nivel de red (para los cuales Android proporciona servicios criptográficos y exposiciones una superficie de ataque mínima al no tener servicios de escucha por defecto) 3. Aplicaciones potencialmente dañinas (para las cuales están diseñadas la zona de pruebas de aplicaciones de Android, la revisión de aplicaciones de Google Play y las aplicaciones Verify)

Cuando nos enteramos de una nueva amenaza potencial, comenzamos a incorporarla en nuestros planes y diseños futuros.

Política de apoyo

P: ¿Cuánto tiempo ofrece Google soporte para cosas como vulnerabilidades de seguridad que se descubren en el sistema operativo?

Ludwig: Nuestro enfoque de una política de soporte para la seguridad de Android es proporcionar actualizaciones en todos los lugares donde creemos que se entregarán a los usuarios y mejorar la seguridad. En la práctica, esto significa que proporcionamos múltiples tipos diferentes de soporte para posibles problemas de seguridad:

1. Si se puede resolver un problema actualizando Chrome, Gmail, Google Play o cualquier número de aplicaciones de Google, resolveremos el problema de una manera que se remonta a todas las versiones de Android en las que cada aplicación está disponible.
2. Los dispositivos Google Nexus y los dispositivos de la edición Google Play reciben regularmente actualizaciones de seguridad de manera oportuna.
3. Proporcionamos parches para la rama actual de Android en el Proyecto de Código Abierto de Android (AOSP) y proporcionamos directamente a los socios de Android parches para al menos las dos últimas versiones principales del sistema operativo. Actualmente, estamos proporcionando backports para problemas de seguridad que cubren Android 4.3 y superior. WebKit en Android 4.3 es la única excepción. Es compatible con Android 4.4 y superior como una actualización binaria. Sin embargo, cuando un OEM solicita asistencia para desarrollar un parche para un dispositivo que ejecuta una versión anterior de la plataforma y se compromete a entregar ese parche como una OTA a los dispositivos, les brindaremos asistencia.
4. Siempre que sea posible, también actualizamos los servicios de seguridad de Google para Android para proporcionar una capa adicional de protección para todos los dispositivos Android, independientemente de si todavía son compatibles con los OEM. Esto incluye la comprobación de aplicaciones potencialmente dañinas y otros comportamientos de seguridad.
5. También proporcionamos a los desarrolladores de aplicaciones información y herramientas para garantizar que sus aplicaciones estén protegidas contra posibles problemas de seguridad. Esto incluye proporcionar API dentro de los servicios de Google Play, como el proveedor de seguridad actualizable que Google puede actualizar sin un dispositivo OTA. También proporcionamos las mejores prácticas que pueden ayudar a los desarrolladores a asegurarse de que sus aplicaciones funcionen de manera segura en todos los dispositivos Android, independientemente de si todavía son compatibles con los OEM. Recientemente, hemos comenzado a analizar aplicaciones en Google Play para detectar posibles vulnerabilidades de seguridad y notificar a los desarrolladores cuando se detectan esas vulnerabilidades.
6. Por último, pero no menos importante, compartimos información sobre problemas de seguridad (incluida la información que tenemos sobre soluciones y cualquier explotación conocida) con los socios de Android para asegurarnos de que entiendan el problema, incluidos los riesgos asociados con los dispositivos que no reciben una actualización para el problema. Esto incluye agregar pruebas para posibles problemas de seguridad en el Paquete de pruebas de compatibilidad para reducir la posibilidad de que un OEM envíe un dispositivo por error con un problema de seguridad conocido.

Control de usuario

P: En el caso de que una aplicación se haya considerado maliciosa pero no necesariamente peligrosa, por ejemplo, una aplicación que muestra la bandeja de notificaciones con anuncios no deseados, ¿qué herramientas están disponibles para ayudar a los usuarios?

Ludwig: Android proporciona a los usuarios controles que les permiten controlar la experiencia en su dispositivo. Esto incluye capacidades como ver los permisos de la aplicación, configurar ajustes como la capacidad de una aplicación para mostrar notificaciones o la capacidad de deshabilitar o eliminar aplicaciones en cualquier momento.

Si una notificación no es deseada, el usuario puede presionar prolongadamente la notificación para ver qué aplicación la produjo y luego cambiar la configuración de notificación de la aplicación o desinstalarla.

Revisiones de seguridad

P: ¿Qué sucede cuando Google envía un mensaje advirtiendo a los usuarios de una aplicación maliciosa y el usuario no elimina la aplicación, ya sea porque deciden no hacerlo o porque el mensaje fue rechazado accidentalmente?

Ludwig: Existen múltiples comprobaciones de seguridad redundantes que están diseñadas para garantizar que una aplicación que se sabe que es potencialmente dañina no se instalará accidentalmente. En cada una de estas comprobaciones, la mayoría de los usuarios que reciben una advertencia sobre una aplicación potencialmente dañina deciden no continuar.

Aquí están todos los pasos principales:

Google ha integrado su sistema de advertencia para aplicaciones potencialmente dañinas conocidas en el backend de muchas de nuestras aplicaciones. Entonces, por ejemplo, el navegador Chrome con Navegación segura podría advertir al usuario, incluso antes de que descargue una aplicación de un sitio web, de que parece que está en un sitio web que aloja aplicaciones potencialmente dañinas.

Si eligen descargar e instalar de todos modos, recibirían una advertencia en el momento de la instalación (así como otra información como los permisos de la aplicación que pueden ayudarlos a decidir si desean instalar).

Si todavía deciden continuar, la aplicación está instalada, pero aún no puede hacer nada hasta que el usuario realmente decida ejecutar la aplicación. Por lo tanto, tienen una oportunidad más de elegir eliminar la aplicación antes de que pueda causar algún daño.

Ya sea que elijan ejecutar la aplicación o no, si está instalada en su dispositivo, el escaneo en segundo plano de Verificar aplicaciones marcará la aplicación y proporcionará otra advertencia recomendando que eliminen la aplicación. Esta advertencia generalmente se produce aproximadamente una vez a la semana, aunque el usuario tiene la opción de decir "no me lo recuerdes".

Aplicaciones antivirus

P: ¿Las aplicaciones de seguridad de terceros me mantienen aún más a salvo de aplicaciones de Play Store potencialmente dañinas?

Ludwig: Las protecciones integradas en Google Play son muy robustas. Para los usuarios que instalan aplicaciones fuera de Google Play, recomendamos encarecidamente que habiliten Verify Apps, que se proporciona en dispositivos Android con Android 2.3 o superior (más del 99 por ciento de los dispositivos Android) que tienen instalado Google Play.

En 2014, según los datos de Verify Apps recopilados por Google e ignorando las aplicaciones de rooteo que los usuarios instalaron intencionalmente, menos del 0.15 por ciento de las aplicaciones instaladas desde fuera de Google Play en dispositivos de inglés de EE. UU. Se clasificaron como aplicaciones potencialmente dañinas. Dada la protección integrada proporcionada por Verify Apps y la baja frecuencia de instalación de PHA, el beneficio potencial de seguridad de una solución de seguridad adicional es muy pequeño.

ROM personalizadas

P: ¿Se aplica alguna de las características de seguridad de Google a los usuarios que han instalado versiones de Android de terceros (léase: ROM hechas por la comunidad)?

Ludwig: Sí, las ROM de terceros generalmente se basan en AOSP, por lo que son compatibles con el entorno limitado de Android, y muchas de ellas usan las aplicaciones de Google, incluidos nuestros servicios de seguridad.

Y ahí lo tienes. Google hace una increíble cantidad de trabajo para mantener seguro a Android, y una gran parte de eso se está preparando para lo que suceda después. Pero siempre será un juego de gato y ratón. Como siempre ha sido el caso, mantener su dispositivo seguro se trata de saber dónde está haciendo tapping, qué está instalando y estar lo más informado posible.

Asegúrese de consultar el resto de nuestra serie de seguridad si desea obtener más información.