Ya sea QuadRooter a principios de 2016 o Gooligan más recientemente, las noticias están llenas de informes de terribles vulnerabilidades de seguridad de Android. A menudo, las compañías de seguridad los traen a la luz con un producto para vender, y la prensa convencional los supera en toda proporción.
Una investigación como esta es un trabajo importante realizado por personas muy inteligentes. Pero no se equivoque, el objetivo es aumentar la publicidad y (eventualmente) venderle software de seguridad. Es por eso que las nuevas vulns de Android vienen con apodos pegadizos y, a veces, incluso logotipos, particularmente en la época de las grandes conferencias de hackers como Defcon y Black Hat. Es una buena historia preempaquetada que seguramente atraerá la atención, fácilmente convertida en titulares como "Cuidado con los usuarios de Android: más de 900 MILLONES de teléfonos inteligentes son vulnerables a este truco paralizante". (Por cierto, ese fue el tabloide británico The Mirror en QuadRooter).
Eso suena aterrador, pero es de interés para aquellos que hacen la divulgación (y, seamos honestos, los medios en línea sedientos de clics) agitar los brazos y hacer que parezca lo más malo posible.
Hay muchos tipos de vulnerabilidades de software, y es casi imposible garantizar que cualquier software sea completamente perfecto, especialmente en algo tan complejo como un teléfono inteligente. Pero centrémonos en el malware basado en aplicaciones, ya que ese es el vector de ataque más común. La forma más sencilla para que los malos hagan cosas malas a su teléfono o sus datos es que instale una aplicación maliciosa. La aplicación podría hacer uso de vulnerabilidades en el sistema operativo para hacerse cargo de su dispositivo, robar sus datos, costarle dinero o cualquier otra cosa.
Cuando surge una vulnerabilidad de seguridad en iOS, Apple emite una actualización de software y se soluciona. Debido al control completo que Apple tiene sobre el iPhone, eso significa que los dispositivos se reparan con bastante rapidez, y todo está bien.
En el iPhone, todo lo que importa vive dentro del sistema operativo. En Android, se divide entre el sistema operativo y los servicios de Play.
En Android, no es tan simple. Google no actualiza directamente el firmware en los mil millones de teléfonos Android que existen, y debido a esto, solo un pequeño puñado está ejecutando la última versión del sistema operativo. Pero eso no significa que tengan que perderse nuevas funciones, API y protección contra malware.
Google Play Services es una aplicación de nivel de sistema, que Google actualiza en segundo plano en cada teléfono con Android desde la versión Gingerbread de 2010. Además de proporcionar API que permiten a los desarrolladores interactuar con los servicios de Google y trasladar muchas características a versiones anteriores de Android, Play Services tiene un papel importante en la seguridad de Android.
La función "Verificar aplicaciones" de Play Services es el firewall de Google contra el malware basado en aplicaciones. Se introdujo en 2012 y se habilitó por defecto en Android 4.2 Jelly Bean. Al momento de escribir este artículo, el 92.4% de los dispositivos Android activos ejecutan la versión 4.2 en adelante, y las versiones anteriores pueden habilitarlo manualmente en la aplicación Configuración de Google.
Verify Apps funciona de manera similar a un escáner de virus de PC tradicional: cada vez que el usuario instala una aplicación, Verify Apps busca códigos maliciosos y exploits conocidos. Si están allí, la aplicación se bloquea por completo: se muestra un mensaje que dice "La instalación ha sido bloqueada". En otros casos, menos sospechosos, se puede mostrar un mensaje de advertencia, con la opción de instalar de todos modos. (Y Verify Apps también puede ayudar a eliminar el malware conocido que ya se ha instalado).
Si bien el exploit subyacente aún puede estar allí, esto hace que sea imposible para los malos aprovechar las vulnerabilidades después de haber salido a la luz. Dado que Play Services se actualiza constantemente en segundo plano, básicamente en toda la base de usuarios de Google Android, tan pronto como se informa una vulnerabilidad importante a Google (a menudo antes de que el público se entere), se repara a través de Verify Apps.
Verify Apps es una última línea de defensa, pero es muy efectiva.
Si bien el método es diferente en comparación con iOS, el resultado es el mismo. El titular de la plataforma actualiza su seguridad: Apple a través de una actualización del sistema operativo, Google a través de los servicios de Play, y los usuarios están protegidos. Puede discutir todo el día sobre cuál es mejor o más robusto, pero el hecho de que aún no hayamos visto el apocalipsis de malware de Android predicho indica que el método de Google está funcionando bastante bien. Eso no quiere decir que otros pasos como los parches de seguridad mensuales de Google no sean importantes. Si bien Verify Apps es una última línea de defensa, es muy efectiva.
Retrocedamos aún más: incluso para llegar al punto de instalar una aplicación maliciosa, el usuario habría tenido que desactivar la casilla de verificación "fuentes desconocidas" para permitir la instalación de aplicaciones desde fuera de Google Play Store. Para la mayoría de las personas, eso no es algo que hagan. Las aplicaciones provienen de Play Store, y eso es todo. Google controla y selecciona aplicaciones en Play Store, y continuamente busca aplicaciones nefastas. Si solo instala aplicaciones desde allí, generalmente está bien.
Los informes sin aliento que mencionan cientos de millones de dispositivos Android vulnerables no mencionan nada de esto, por supuesto. En el caso de las vulnerabilidades de QuadRooter, por ejemplo, suponiendo que se encuentre en una versión afectada de Android, primero deberá deshabilitar la casilla de verificación "fuentes desconocidas", luego ir a Configuración de Google> Seguridad y deshabilitar el escaneo de aplicaciones. Entonces, si decide descargar e instalar una aplicación infectada desde un rincón infame de Internet, se verá afectado. Estos no son pasos que la mayoría de las personas toman, ni son cosas que sucederán por sí mismas.
Es el equivalente digital de abrir la puerta, tirar las llaves en el camino de entrada y colocar un gran letrero en el césped que dice "Cosas gratis adentro, entra".
Eso no quiere decir que no haya habido uno o dos problemas de seguridad de Android realmente amenazantes en los últimos años. Lo peor hasta la fecha ha sido Stagefright, lo que llevó a Google a establecer su régimen de parches de seguridad mensuales. Stagefright fue particularmente malo porque podría afectar a los teléfonos simplemente reproduciendo archivos multimedia. Hay una gran diferencia entre eso y el malware en la forma de una aplicación que necesita ser instalada.
Cuando se trata de algo en forma de APK, las salvaguardas de seguridad existentes de Android ya protegen a la gran mayoría de las personas, incluso si no están en la versión más actualizada.
Entonces, ¿esos informes sobre cientos de millones de dispositivos Android son "vulnerables" a esto o aquello? En teoría, si hace todo lo posible para deshabilitar todas las garantías integradas de Android, seguro. En el mundo real, no tanto.
