INICIO FOROS ÍNDICES DIVISAS MATERIAS PRIMAS CALENDARIO ECONÓMICO

Autor Tema: Se abre una nueva era para la seguridad en Android, y todo gracias a Stagefright  (Leído 896 veces)

OCIN

  • Socio Foxinver
  • Excelente participación
  • ***
  • Mensajes: 97.566
  • Karma: +8/-12
  • Sexo: Masculino
Por...  Javier Pastor



Probablemente recordaríéis como hace unos dí­as el experto en seguridad Joshua Drake descubrió una nueva vulnerabilidad Android. Una realmente preocupante. La bautizaron Stagefright, y al explotarla el potencial atacante era potencialmente capaz de ejecutar código remoto e infiltrarse y controlar nuestro dispositivo de forma remota. Y todo a travíés de un sencillo y aparentemente inocuo mensaje MMS.
El problema de seguridad ha sido uno de los más graves en la plataforma Android, pero las amenazas a la seguridad de nuestros dispositivos móviles siempre ha sido evidente, y sin embargo es ahora cuando Google y diversos fabricantes parecen haber entendido la importancia de la situación. ¿Quíé ha ocurrido?


Stagefright es grave, y eso es bueno

La vulnerabilidad descubierta por Drake y su empresa, Zimperium, afecta a la inmensa mayorí­a de dispositivos basados en Android, ya que era posible explotarla desde la versión 2.2 hasta la reciente versión 5.1 de Android. Fue confirmada por Google poco despuíés, y eso hizo que tanto esta empresa como otros fabricantes se pusieran a trabajar en parches para resolver el problema.

Stagefright funciona de forma relativamente sencilla. Corrompe el sistema de memoria del dispositivo de forma que el atacante pueda indicarle al sistema cuál es la siguiente lí­nea de código que debe ejecutar. La ví­ctima no se entera de que el atacante ha logrado colar diversas lí­neas de código en el sistema que se ejecutan sin su conocimiento, pero Android no lo pone tan fácil: para eso está ASLR.
La protección Address Space Layout Randomization presente en el sistema operativo se encarga de revolver y desordenar todo ese mapa de memoria. Es una especie de caos controlado que hace que los programas autorizados sí­ puedan saber quíé lí­nea de código tienen que ejecutar en cada momento, pero que evita que programas maliciosos traten de adivinar cuál es la siguiente lí­nea de código para colarse y ejecutar código malicioso. Es factible que los atacantes logren superar ese problema, pero al menos ASLR les ha comprado algo de tiempo a todos los fabricantes y desarrolladores que quieren proteger nuestros dispositivos.

La gravedad de la situación -Stagefright ha sido calificada como una de las vulnerabilidades más crí­ticas de la historia de Android, y eso que habí­amos visto cosas parecidas- ha tenido una consecuencia beneficiosa. Una que no habí­an logrado tener todas las vulnerabilidades anteriores, que desde luego ya dejaban claro que la seguridad en Android tení­a mucho margen de mejora. Las empresas parecen haber tomado conciencia de ello, y parece que los parches y actualizaciones de seguridad serán de ahora en adelante más frecuentes.



El mito de la fragmentación sí­ es real en esta ocasión

Decí­amos en Xataka Móvil hace unos meses que la fragmentación es un mal necesario: lo es porque esta plataforma, sin ser completamente abierta -o no en el sentido estricto de la palabra- sí­ ofrece todo tipo de opciones a los fabricantes y desarrolladores. Ofrece libertad, y esa libertad tiene su precio. Entre otras cosas, el precio de que la seguridad, que se puede ver comprometida.


Google no tiene el control total sobre la plataforma, pero sobre todo ocurre con las actualizaciones y parches, que primero tienen que pasar por los fabricantes de los dispositivos y las operadoras para verificar que esos cambios no afectan al rendimiento de sus dispositivos. La fragmentación aparece como obstáculo para un ecosistema más coherente y con un sistema de actualizaciones más válido, y las cosas no habí­an ido demasiado bien en ese sentido hasta ahora.

Google ofrece actualizaciones con cierta frecuencia en sus Nexus, pero los fabricantes suelen tardar bastante más en adoptar esos cambios. La llegada de las nuevas ediciones de Android es un testimonio del problema: casi un año despuíés de la aparición de Android 5.0 el porcentaje de dispositivos basados en este sistema o su sucesor (Android 5.1) es muy discreto: menos de un 20% a nivel global. Android Kitkat es el más extendido con casi un 40% de cuota, pero es que Jelly Bean le sigue de cerca con casi un 35% de cuota.

Esa fragmentación se ha suavizado en los últimos tiempos gracias a la polí­tica de Google que ha hecho que cada vez más componentes se disreguen y se hagan independientes. Una cosa es el núcleo -en el que sí­ hay cambios importantes como los que afectan al diseño de la interfaz- y otro las aplicaciones y servicios de Google, que se han apartado de ese núcleo central. Podremos acceder a nuevas versiones de esas aplicaciones sin que necesariamente contemos con la última versión del sistema operativo. Es un paso interesante, y válido. Pero eso no soluciona el problema de la seguridad, algo que podrí­a cambiar a partir de ahora.


Google y Samsung quieren ciclos de actualización frecuentes, veremos el resto


Los acontecimientos se han precipitado y tanto Google como Samsung han anunciado un cambio en su polí­tica de actualizaciones. Google ha anunciado que su familia de dispositivos Nexus recibirán actualizaciones regulares cada mes durante al menos los tres primeros años.
Google

Samsung no ha querido quedarse atrás y sus directivos tambiíén han dado el salto a ese ciclo frecuente de actualizaciones -no especifican si será mensual, eso sí­- y de hecho uno de sus responsables, Rick Segal, indicaba recientemente que Samsung lleva ya seis meses trabajando en un sistema tipo "rolling release" -como el que ahora quiere imponer Microsoft en Windows 10- para distribuir actualizaciones de seguridad de forma mucho más rápida.
No queda claro quíé harán otros fabricantes, pero es de esperar que al menos los más importantes se unan a ese esfuerzo. Hay un motivo claro: la competencia. Si Samsung me ofrece la garantí­a de actualizaciones frecuentes y el fabricante X no, eso podrí­a ser un factor de decisión evidente en la compra. Las cosas se animan en el terreno de la seguridad, y todo tenemos que agradecíérselo, curiosamente, a Stagefright.


•... “Todo el mundo quiere lo máximo, yo quiero lo mínimo, poder correr todos los días”...
 Pero nunca te saltes tus reglas. Nunca pierdas la disciplina. Nunca dejes ni tus operaciones, ni tu destino, ni las decisiones importantes de tu vida al azar, a la mera casualidad...