Android fue descrito como un "infierno tóxico" de vulnerabilidades, pero ese ya no es el caso.
El iPhone 14 Pro Max, Google Pixel 7 Pro, Xiaomi 13 Ultra y Galaxy S23 Ultra
Hoy en día Android es uno de los sistemas operativos más utilizados y seguros del planeta, pero no siempre fue así. De hecho, allá por 2014, ZDNet famoso llamó a Android un "infierno tóxico" de vulnerabilidades, que luego fue citado por Tim Cook en el lanzamiento del iPhone de ese año. Cook destacó que Android estaba tan fragmentado y las actualizaciones tardaban tanto en llegar que no había manera de que Las personas pobres que "compraron un teléfono Android, por error" podrían disfrutar casi de la seguridad de su iPhone. mejores.
Sin embargo, esa no es la historia completa y ciertamente no es exacta hoy en día.
Principios humildes
Pensando en el primer iPhone, se conectaba a través de 2G, tenía alrededor de 14 aplicaciones y tomaba fotografías con una gran cantidad de ruido y granulado. Sin embargo, el beneficio para Apple fue que la compañía fabricó el hardware y el software, incluidas las 14 aplicaciones, que, antes de la App Store, era todo lo que se podía usar. Apple controlaba toda la experiencia, lo que también significaba que podían publicar actualizaciones en cualquier momento que quisieran.
Por el contrario, los primeros días de Android fueron un poco diferentes, con muchos más cocineros en la proverbial cocina. Primero, Google lanzaría una nueva versión de Android, que luego los fabricantes de chips adaptaron para funcionar en cualquier CPU que usara su teléfono. Luego, el fabricante se salió con la suya con Android, agregó nuevas funciones o aplicaciones y, por lo general, cambió un montón de cosas sobre su apariencia, a menudo para peor. Luego, si se trataba de un teléfono de marca de red, tenía que acudir a su proveedor, y ellos se asegurarían de que funcionara en su red y al mismo tiempo comprarían más bloatware sólo por el gusto de hacerlo.
Luego, si tuvo suerte, tal vez seis meses después del lanzamiento de una nueva versión de Android, usted, como usuario habitual persona, lo tendría en su teléfono, junto con algunos extras que puede que tenga o no buscado. Para el 99% del ecosistema de Android, así era como funcionaban las actualizaciones y era un gran problema. Es como pedir una hamburguesa elegante en un restaurante y luego tener que esperar mientras el dueño de la franquicia y el camarero agregan un montón de ingredientes extraños y asquerosos que no pediste.
Las únicas personas a las que sus teléfonos inteligentes Android no tardaban una eternidad en recibir actualizaciones que a menudo también incluían software adicional eran los propietarios de Google Nexus. Estos teléfonos ejecutaban Android estándar y recibían actualizaciones directamente de Google sin agregar nada adicional. El problema era que representaban sólo una pequeña porción del pastel de Android en constante expansión.
La fragmentación crea problemas de seguridad
Toda esta situación fue bastante mala por varias razones, y una de las más importantes fue la seguridad. Obviamente, no es genial si Google o Qualcomm necesitan corregir un error de seguridad más arriba en la cadena alimentaria, y luego hay que esperar meses adicionales para que llegue a la mayoría de los dispositivos.
Esto empeoró por la naturaleza de Android en ese momento y la actitud de los fabricantes de teléfonos. hacia actualizaciones. Las actualizaciones de software para teléfonos existentes a menudo se consideraban una tarea ardua, casi como si hubieras cometido un error si Tuve que crear uno porque, bueno, cualquier cosa que estés arreglando o agregando debería haber estado en la ROM original. Como resultado, el historial de actualizaciones de casi todos en el mundo Android en aquel entonces era básicamente un contenedor de basura para los estándares actuales. Los buques insignia recibirían una actualización importante del sistema operativo meses después si tenían suerte. Lo peor es que los parches de seguridad aún no existían.
Como si las cosas no pudieran empeorar, prácticamente todas las aplicaciones principales importantes de Android todavía estaban integradas en el firmware en este punto. Las actualizaciones del navegador web, por ejemplo, deberían empaquetarse en una OTA y esperar a ser certificadas por el fabricante y el operador. Entonces, si surgía una vulnerabilidad en el código del motor del navegador de, por ejemplo, Google, no había forma de implementar correcciones de manera amplia o rápida. Eso significaba que diferentes personas estarían atrapadas en diferentes versiones con diferentes personalizaciones y diferentes niveles de vulnerabilidad al malware y otras cosas desagradables. De ahí: fragmentación de Android.
Vale la pena decir que iOS *de ninguna manera* estuvo libre de problemas de seguridad, especialmente durante las primeras generaciones del iPhone. La falta de una tienda de aplicaciones oficial fue un gran incentivo para que los guionistas y los hackers de sombrero blanco abrieran el iPhone y lo hicieran hacer cosas nuevas y emocionantes. Al menos una forma importante de hacer jailbreak a los iPhone en aquel entonces implicaba explotar un error en el navegador. Básicamente, una página web podría romper la seguridad del iPhone original.
La diferencia fue que Apple podía tapar esos agujeros de seguridad mucho más rápidamente cuando aparecían y hacerlo a través de un mucho porción más grande de la base de usuarios. No es así en el lado de Android.
Google era malo, pero Android es mucho mejor ahora
Todo eso era el "guiso tóxico" que supuestamente Google estaba sirviendo en los días de las versiones 4 y 5 de Android. Mirando hacia atrás en retrospectiva, es fácil decir que Google debería haber hecho más para retener el control sobre Android... o implementar sistemas desde el principio para ayudar a que las actualizaciones fluyan de manera más libre y frecuente.
Sin embargo, vale la pena recordar que cuando Android se desarrolló por primera vez en 2007, el mundo era un lugar diferente. Los teléfonos inteligentes que existían eran principalmente artilugios primitivos para mezclar correos electrónicos para gente de negocios. Los pagos móviles estaban lejos de ser una realidad. Uber no se fundaría hasta dentro de dos años. El humilde retuit ni siquiera existía.
La cuestión es que, en aquel entonces, no estaba claro cómo, durante la década siguiente, tantas tareas cotidianas esenciales estaría vinculado a su teléfono, ni cómo se convertiría en un tesoro de información personal valiosa y pirateable. datos. Hay que reconocer que Google ha cambiado muchísimo en los últimos años para hacer que Android sea más seguro y hacer que las correcciones de seguridad lleguen más rápidamente a más personas. Hay un número de razones para esto.
Por ejemplo, Google Play Services es algo que quizás hayas visto actualizándose en tu teléfono y a lo que tal vez no le hayas prestado mucha atención. Sin embargo, en realidad es una parte muy importante de cómo Google mantiene Android seguro y ayuda a llevar nuevas funciones de Android 13 al antiguo Galaxy S7 de su abuela que no ha recibido nuevo firmware en años.
En el caso de Play Services, es una aplicación del sistema, por lo que tiene acceso privilegiado de nivel superior A+ Platinum a todo lo que hay en su teléfono. Puede hacer mucho más que una aplicación normal que descargarías de Play Store, como instalar o eliminar otras aplicaciones o incluso borrar remotamente tu dispositivo en caso de pérdida o robo.
El fabricante debe cargar las aplicaciones del sistema, como Play Services, en su teléfono, pero una vez allí, se pueden actualizar automáticamente en segundo plano. Eso significa que las nuevas versiones pueden agregar de forma segura nuevas características y funcionalidades. Y Play Services tiene tentáculos en todo el sistema operativo, razón por la cual, por ejemplo, la función de selección de fotos segura de Android 13 podría implementarse en teléfonos que ejecutan versiones mucho más antiguas del sistema operativo sin necesidad de instalar ningún firmware nuevo.
Play Services también incluye Google Play Protect, la capacidad antimalware a nivel del sistema operativo de Android que puede detener aplicaciones maliciosas antes de que se instalen o eliminarlas si ya están allí. La otra cosa importante de Play Services es que admite versiones absolutamente antiguas de Android. Por lo general, Google solo deja de admitir los servicios de Play en las versiones de Android que tienen alrededor de diez años. En este momento, es el verano de 2023 y la versión actual de Play Services es compatible desde Android 4.4 KitKat de 2013. Esa trivia aparentemente aleatoria es importante porque te ayuda a mantenerte razonablemente seguro incluso en versiones mucho más antiguas de Android. Eso en sí mismo es una gran parte de la estrategia de seguridad de Android.
Curiosamente, Play Services jugó un papel interesante en la respuesta al COVID-19 de muchos países de todo el mundo. Una actualización distribuida a través de Play Services fue la forma en que Google pudo implementar el sistema de notificación de exposición que había desarrollado con Apple para prácticamente toda la base de usuarios de Android de una sola vez. Sin Play Services, ese tipo de esfuerzo habría llevado meses y no habría llegado a tanta gente.
De hecho, es bastante loco pensar que los esfuerzos de Google para solucionar la fragmentación de Android casi una década antes probablemente indirectamente Terminó salvando bastantes vidas durante la pandemia.
Miedo escénico
Las aplicaciones de malware son una cosa, pero hay otras formas en que los delincuentes pueden intentar tomar el control de su teléfono o robar sus datos. Los exploits del navegador fueron una parte bastante importante de esto, y ahora tanto el navegador Chrome como el código WebView para el contenido web dentro de otras aplicaciones se actualizan a través de Play Store. De hecho, esto se aplica a un montón de partes diferentes de Android que alguna vez requirieron una actualización de firmware. Otros incluyen el marcador de Google Phone, Mensajes de Android e innumerables aplicaciones detrás de escena.
Entonces, digamos que hoy en 2023 se descubre un desagradable exploit en el navegador en el que una página web maliciosa podría bloquear su teléfono, robar sus contraseñas o hacer que la aplicación Starbucks arruine su pedido. No importa en qué versión de Android estés, Google podría publicar actualizaciones a través de Play Store que cubran tanto Chrome como cualquier otra aplicación que muestre contenido web. En los días del llamado infierno tóxico, implementar la misma solución requeriría una actualización completa del firmware para funcionar. a cada teléfono Android: mucho más trabajo para mucha más gente, y habría llevado meses o incluso años en lugar de días.
Otro tipo de exploit fue una gran noticia en el mundo de la seguridad de Android en 2015. El error "Stagefright" afectó a la parte de Android que manejaba la representación de imágenes y videos: una foto que había sido manipulada de la manera correcta podría causarle daños a tu teléfono. Esto fue un gran problema porque en aquel entonces, el componente Stagefright no se podía actualizar sin una actualización completa del firmware. Nuevamente: mucho trabajo adicional, certificación y espera, mientras que potencialmente el equivalente digital de una pintura embrujada podría abrir tu teléfono de par en par en cualquier momento.
Las consecuencias de ese espeluznante susto de seguridad de Stagefright fueron dobles: primero, Google comenzó a lanzar parches de seguridad mensuales para Android, vinculando su nivel de seguridad a una fecha específica. No solo eso, sino que hizo que Google se tomara mucho más en serio la modularidad de Android, por lo que partes del sistema operativo como Stagefright podrían actualizarse a través de Play Store sin necesidad de una actualización completa del firmware.
Hasta el día de hoy, se siguen publicando nuevos parches de seguridad de Android todos los meses. Y también cubren versiones anteriores del sistema operativo, no solo las más recientes, por lo que incluso si un teléfono todavía tiene Android 11 o 12, aún puede estar protegido. Generalmente, Google Píxel y los buques insignia de Samsung reciben primero los parches de seguridad, mientras que otros como Motorola corren sudorosamente detrás del resto del ecosistema, lanzando el mínimo contractual de un parche por trimestre.
Ese es el otro lado de esta ecuación: Google ahora requiere legalmente que los fabricantes de teléfonos se comprometan con un nivel mínimo de soporte si quieren Android con los servicios de Google en sus dispositivos. En 2018, El borde reportado que Google exige dos años de parches de seguridad, que se publican al menos una vez cada 90 días
Hoy en día, marcas populares como Samsung y OnePlus prometen cuatro años de actualizaciones del sistema operativo y cinco años de parches de seguridad, posiblemente con cierto apoyo de Google entre bastidores.
A pesar de que las actualizaciones se publican con mucha más frecuencia hoy en día, todavía requieren mucho trabajo de ingeniería, especialmente cuando se trata de una actualización importante, como una versión completamente nueva del sistema operativo. Android no se parece a One UI de Samsung o ColorOS de Oppo cuando sale de la fábrica de chocolate de Mountain View de Google, ¿verdad? Y en los primeros días, usted, como Samsung u Oppo, necesitaría incorporar esa versión completamente nueva de Android en su bifurcación personalizada de la versión anterior. Es como intentar cambiar algunos de los ingredientes una vez que la comida ya está cocinada: terminas teniendo que empezar casi desde cero.
¿La solución de Google? Básicamente, un plato de televisión: sirves esa comida en dos secciones diferentes. Se separan las personalizaciones del fabricante (todas las cosas de One UI o ColorOS) del sistema operativo principal. Y eso significa que puedes actualizar uno más fácilmente sin alterar el otro. Todo este esfuerzo se llama Proyecto Treble y, aunque no puedes verlo en tu teléfono, es posible que lo hayas notado. cómo el dispositivo Android que posee hoy se actualiza un poco más rápido que uno que usó hace siete u ocho años atrás.
Además de eso, Google comenzó a compartir versiones futuras de Android con los fabricantes de equipos originales en una etapa mucho más temprana. Entonces, cuando la primera vista previa del desarrollador de Androide 14 eran públicos, empresas como Samsung probablemente lo habían estado observando detrás de escena durante aproximadamente un par de meses. En cuanto a los parches de seguridad, se comparten de forma privada un mes antes para dar a los fabricantes una ventaja.
Entonces, si bien todo eso está muy bien, las personas a menudo conservan los teléfonos por más de un par de años. Lanzar un nuevo firmware sigue siendo una cantidad de trabajo no trivial y esos ingenieros no trabajan gratis. Línea principal del proyecto en 2019 hizo que Android fuera más modular, con módulos de software para cosas como WiFi, Bluetooth, manejo de medios y mucho más. Luego, Google o el fabricante pueden actualizar estos módulos directamente por separado, sin el lío de pasar por todo el proceso de actualización del firmware.
Si alguna vez has visto una actualización del sistema Google Play en tu teléfono, eso es lo que es. Piénselo así: si se funde una bombilla en su casa, ahora puede simplemente cambiarla... mientras que antes salías, quemaste la casa hasta los cimientos y construías una nueva encima.
Las protecciones de seguridad son mucho mejores ahora
Los temores de seguridad de Android todavía ocurren, incluso en 2023. Pero la diferencia hoy, frente a los tiempos infernales y tóxicos, es que existen muchas herramientas para neutralizarlos. Tomemos como ejemplo la vulnerabilidad Stagefright de 2015. La parte de Android afectada por ese error es un módulo de Project Mainline hoy, y se actualizó fácilmente hasta Android 10 sin una actualización completa del firmware.
Como otro ejemplo, en 2014, el error "Fake ID" podría permitir que una aplicación maliciosa se hiciera pasar por una con permisos especiales, exponiendo potencialmente sus datos a un atacante. Si algo así sucediera hoy, Play Protect lo detendría en seco y el error subyacente podría solucionarse rápidamente con una actualización principal del módulo de tiempo de ejecución de Android. Además de eso, Google también ha hecho mucho en torno al cifrado y la administración de memoria para que sea más difícil hacer algo útil con futuras vulnerabilidades de Android cuando surjan.
Ningún software es nunca completamente seguro. Los exploits de día 0, es decir, vulnerabilidades secretas y sin parches, existen para todos los sistemas operativos y son utilizados por los Estados-nación y vendidos por grandes sumas de dinero en el mercado negro. Hay muchos ejemplos recientes de personas de alto perfil que han sido atacadas por malware aterradoramente sofisticado basado en días 0: personas como Jeff Bezos, Emmanuel Macron y Liz Truss. En 2022, el ex primer ministro del Reino Unido supuestamente tuvo que seguir cambiando de número de teléfono después de haber sido pirateado, supuestamente por agentes rusos. Al final, se consideró que su dispositivo estaba tan completamente comprometido que lo encerraron, básicamente, en el teléfono inteligente equivalente al sarcófago de Chernobyl.
Si se pregunta por qué estaba cambiando su número de teléfono, es posible que su teléfono fuera atacado por algo como Pegasus, el software espía de fabricación israelí que supuestamente puede apoderarse de dispositivos Android o iOS con solo tener su teléfono número. Según se informa, Rusia no utiliza software espía de fabricación extranjera, pero es probable que tenga su propio equivalente local basado en exploits de día 0 similares.
Todo esto muestra que el 100% de seguridad es una ilusión: es inalcanzable, independientemente del dispositivo o sistema operativo que estés usando. Sin embargo, Android ha dejado de ser un "infierno tóxico de vulnerabilidades" de la misma manera que se podría haber argumentado que lo era hace una década. Está en una posición mucho mejor para hacer frente a las diversas amenazas que podrían enfrentar aquellos de nosotros que no somos jefes de gobierno o directores ejecutivos de una empresa de un billón de dólares.
Es más, la persona promedio tiene muchas más probabilidades de ser víctima de ingeniería social o de alguna otra estafa que de ser atacada por malware en el teléfono. Este tipo de fraude está aumentando en muchos países, y en el Reino Unido, aumentó un 25% entre 2020 y 2022, y la mayoría de los casos implican un uso indebido de la computadora. A medida que la seguridad de los teléfonos inteligentes ha mejorado, se podría decir que muchos delincuentes se están dando cuenta de que en realidad es más fácil explotar el componente blando y carnoso adherido a la pantalla: usted.