Probablemente recordaréis como hace unos días el experto en seguridad Joshua Drake descubrió una nueva vulnerabilidad Android. Una realmente preocupante. La bautizaron Stagefright, y al explotarla el potencial atacante era potencialmente capaz de ejecutar código remoto e infiltrarse y controlar nuestro dispositivo de forma remota. Y todo a través de un sencillo y aparentemente inocuo mensaje MMS.
El problema de seguridad ha sido uno de los más graves en la plataforma Android, pero las amenazas a la seguridad de nuestros dispositivos móviles siempre ha sido evidente, y sin embargo es ahora cuando Google y diversos fabricantes parecen haber entendido la importancia de la situación. ¿Qué ha ocurrido?
Stagefright es grave, y eso es bueno
La vulnerabilidad descubierta por Drake y su empresa, Zimperium, afecta a la inmensa mayoría de dispositivos basados en Android, ya que era posible explotarla desde la versión 2.2 hasta la reciente versión 5.1 de Android. Fue confirmada por Google poco después, y eso hizo que tanto esta empresa como otros fabricantes se pusieran a trabajar en parches para resolver el problema.
Stagefright funciona de forma relativamente sencilla. Corrompe el sistema de memoria del dispositivo de forma que el atacante pueda indicarle al sistema cuál es la siguiente línea de código que debe ejecutar. La víctima no se entera de que el atacante ha logrado colar diversas líneas de código en el sistema que se ejecutan sin su conocimiento, pero Android no lo pone tan fácil: para eso está ASLR.
La protección Address Space Layout Randomization presente en el sistema operativo se encarga de revolver y desordenar todo ese mapa de memoria. Es una especie de caos controlado que hace que los programas autorizados sí puedan saber qué línea de código tienen que ejecutar en cada momento, pero que evita que programas maliciosos traten de adivinar cuál es la siguiente línea de código para colarse y ejecutar código malicioso. Es factible que los atacantes logren superar ese problema, pero al menos ASLR les ha comprado algo de tiempo a todos los fabricantes y desarrolladores que quieren proteger nuestros dispositivos.
La gravedad de la situación -Stagefright ha sido calificada como una de las vulnerabilidades más críticas de la historia de Android, y eso que habíamos visto cosas parecidas- ha tenido una consecuencia beneficiosa. Una que no habían logrado tener todas las vulnerabilidades anteriores, que desde luego ya dejaban claro que la seguridad en Android tenía mucho margen de mejora. Las empresas parecen haber tomado conciencia de ello, y parece que los parches y actualizaciones de seguridad serán de ahora en adelante más frecuentes.
El mito de la fragmentación sí es real en esta ocasión
Decíamos en Xataka Móvil hace unos meses que la fragmentación es un mal necesario: lo es porque esta plataforma, sin ser completamente abierta -o no en el sentido estricto de la palabra- sí ofrece todo tipo de opciones a los fabricantes y desarrolladores. Ofrece libertad, y esa libertad tiene su precio. Entre otras cosas, el precio de que la seguridad, que se puede ver comprometida.
Google no tiene el control total sobre la plataforma, pero sobre todo ocurre con las actualizaciones y parches, que primero tienen que pasar por los fabricantes de los dispositivos y las operadoras para verificar que esos cambios no afectan al rendimiento de sus dispositivos. La fragmentación aparece como obstáculo para un ecosistema más coherente y con un sistema de actualizaciones más válido, y las cosas no habían ido demasiado bien en ese sentido hasta ahora.
Google ofrece actualizaciones con cierta frecuencia en sus Nexus, pero los fabricantes suelen tardar bastante más en adoptar esos cambios. La llegada de las nuevas ediciones de Android es un testimonio del problema: casi un año después de la aparición de Android 5.0 el porcentaje de dispositivos basados en este sistema o su sucesor (Android 5.1) es muy discreto: menos de un 20% a nivel global. Android Kitkat es el más extendido con casi un 40% de cuota, pero es que Jelly Bean le sigue de cerca con casi un 35% de cuota.
Esa fragmentación se ha suavizado en los últimos tiempos gracias a la política de Google que ha hecho que cada vez más componentes se disreguen y se hagan independientes. Una cosa es el núcleo -en el que sí hay cambios importantes como los que afectan al diseño de la interfaz- y otro las aplicaciones y servicios de Google, que se han apartado de ese núcleo central. Podremos acceder a nuevas versiones de esas aplicaciones sin que necesariamente contemos con la última versión del sistema operativo. Es un paso interesante, y válido. Pero eso no soluciona el problema de la seguridad, algo que podría cambiar a partir de ahora.
Google y Samsung quieren ciclos de actualización frecuentes, veremos el resto
Los acontecimientos se han precipitado y tanto Google como Samsung han anunciado un cambio en su política de actualizaciones. Google ha anunciado que su familia de dispositivos Nexus recibirán actualizaciones regulares cada mes durante al menos los tres primeros años.
Samsung no ha querido quedarse atrás y sus directivos también han dado el salto a ese ciclo frecuente de actualizaciones -no especifican si será mensual, eso sí- y de hecho uno de sus responsables, Rick Segal, indicaba recientemente que Samsung lleva ya seis meses trabajando en un sistema tipo "rolling release" -como el que ahora quiere imponer Microsoft en Windows 10- para distribuir actualizaciones de seguridad de forma mucho más rápida.
No queda claro qué harán otros fabricantes, pero es de esperar que al menos los más importantes se unan a ese esfuerzo. Hay un motivo claro: la competencia. Si Samsung me ofrece la garantía de actualizaciones frecuentes y el fabricante X no, eso podría ser un factor de decisión evidente en la compra. Las cosas se animan en el terreno de la seguridad, y todo tenemos que agradecérselo, curiosamente, a Stagefright.
En Xataka | Así es la vida: tu smartphone tiene fecha de caducidad