La seguridad es uno de los campos que Android debe reforzar, y las actualizaciones de seguridad de Google pueden ser la solución a muchos problemas: parches rápidos que solucionan agujeros de seguridad antes de ser explotados.
Android quiere entrar en terrenos como las empresas y los gobiernos, pero para hacerlo debe hacer sus deberes en un apartado que no hace más que dar dolores de cabeza a Google, la seguridad. Como ya comentamos anteriormente, siempre va a haber fallos de seguridad, lo importante es la velocidad con las que se solucionan, y Google tenía un gran problema haciendo llegar actualizaciones a todos los dispositivos Android por la dejadez de los fabricantes.
Por suerte, y ante el auge de fallos de seguridad como Stagefright, todos los fabricantes se pusieron de acuerdo en algo: hay que actualizar esos fallos de seguridad cuanto antes, con independencia de la versión de Android que estemos utilizando, y con ese objetivo han surgido las actualizaciones de seguridad.
¿Qué son las actualizaciones de seguridad de Google?
Las actualizaciones de seguridad de Google son correcciones de fallos que han llevado a una vulnerabilidad, a un fallo de seguridad, que no se pueden corregir por otros medios, como actualizando los Google Play Services.
Antes de continuar, hay que aclarar que estas actualizaciones de seguridad no son el único mecanismo que emplea Google para corregir fallos de seguridad. Los fallos encontrados en Android se clasifican según su severidad, y los chicos de Google utilizan el siguiente criterio para establecer una severidad a cada agujero de seguridad.
Clasificación de fallos de seguridad de Android, según su importancia
Clasificación | Consecuencias de la explotación del fallo |
---|---|
Vía > Android Security | Última actualización: diciembre de 2015 | |
Crítico | -> Ejecución de código remoto con privilegios (ejecución en un nivel de privilegios que las aplicaciones de terceros NO pueden conseguir con la instalación) -> Comprometer permanentemente el dispositivo de forma local (el dispositivo no puede ser reparado sin re-flashear por completo el sistema operativo, comprometiendo el arranque seguro o el TTE (Trusted Execution Environment) -> Ataque de denegación de servicio remoto y permanente (el dispositivo es inoperable, de forma permanente o requiriendo re-flashear por completo el sistema operativo) |
Alto | -> Ejecución de código remoto sin privilegios (ejecución en un nivel de privilegios que las aplicaciones de terceros SÍ pueden conseguir con la instalación) -> Acceso local a los datos del sistema sin permiso -> Ataque de denegación de servicio local y permanente (el dispositivo es inoperable, de forma permanente o requiriendo re-flashear por completo el sistema operativo) -> Ataque de denegación de servicio remoto (reinicios o apagados remotos) |
Moderado | -> Acceso al nivel de permisos "peligrosos" sin permiso por parte de una aplicación instalada en el dispositivo -> Ataque de denegación de servicio local y temporal (sólo se resuelve restaurando de fábrica el dispositivo) |
Bajo | -> Acceso al nivel de permisos "normales" sin permiso por parte de una aplicación instalada en el dispositivo -> Ataque de denegación de servicio local y temporal (puede ser resuelto reiniciando el dispositivo en modo seguro y borrando la aplicación problemática) |
Según la clasificación que se le haya dado al fallo de seguridad, se toman unas medidas u otras para solucionarlo. Entre ellas, y reservada para los casos que tengan una clasificación de moderado o superior, están las actualizaciones de seguridad de Google.
Cuando se arreglan estas vulnerabilidades moderadas, altas, o críticas en AOSP, se notifica a todos los miembros de la Open Handset Alliance con los detalles, y se les proporciona parches de seguridad para las últimas 3 versiones de Android.
Esto quiere decir que, además de Marshmallow (6.0), KitKat (4.4) y Lollipop (5.0/5.1) también tienen un parche por parte de Google a día de hoy, aunque esto cambiará cuando Google saque una nueva versión para Android, sin contar las versiones menores.
¿Cómo llegan las actualizaciones de seguridad a mi Android?
El procedimiento siempre es el mismo: las actualizaciones se producen normalmente vía OTA, se descargan e instalan desde el propio dispositivo, sin necesidad de que otros dispositivos como un ordenador intervengan. Es vital para que estas actualizaciones se realicen con rapidez, y el sistema ya establecido para las actualizaciones habituales funciona en estos casos.
Eso sí, la cosa cambia según cual sea nuestro fabricante, porque podemos encontrarnos con dos casos.
- Si tenemos un dispositivo Nexus | Seremos los primeros en tener estas actualizaciones de seguridad, dado que proceden directamente del equipo de Google Nexus. Además de las habituales OTAs, explicadas justo encima, también tenemos las imágenes de fábrica disponibles para nuestros uso, cortesía de Google.
- Si tenemos un dispositivo NO Nexus | La actualización depende de nuestro fabricante, quien ha recibido el parche correspondiente de manos del equipo de seguridad de Google. Depende de su compromiso a actualizar sus dispositivos por motivos de seguridad, y de lo que tarde en adaptar el parche a su dispositivo.
¿Cómo consulto qué actualización de seguridad de Google tengo en mi Android?
Si tienes una actualización de seguridad de Google instalada, dentro de «Información del dispositivo» en Ajustes debería especificar qué versión tienes, como puedes ver en la cabecera de este artículo. Recuerda que esto no funciona con números; siempre nos indicará la fecha del mes que corresponda.
¿Para qué sirven estas actualizaciones de seguridad?
Estas actualizaciones, como venimos contando a lo largo del artículo, sirven para arreglar fallos de seguridad con una importancia considerable. No arreglan fallos de rendimiento o hacen pequeños retoques, sólo arreglan fallos de seguridad, no esperéis funciones nuevas al actualizar con uno de estos parches.
Por suerte, Google es muy abierta en cuanto a estas actualizaciones de seguridad, y no sólo cuenta a los socios de la OHA qué ha cambiado; cuentan con una página en la que vienen relatados los fallos arreglados, clasificados por mes. También podemos ver a qué mes corresponde cada actualización, y la fecha en la que la actualización se hizo pública para los dispositivos Nexus.
¿Por qué son importantes las actualizaciones de seguridad?
Como ya os hemos contado millones de veces, no existe un sistema operativo a prueba de fallos: cualquier sistema va a tener fallos, por mínimos que sean, que irán surgiendo con el tiempo. Lo importante es que esos fallos se corrijan nada más se descubren, intención que Google tiene con estos parches de seguridad.
El problema es que volvemos a lo mismo de siempre: la única que actualiza sin pegas termina siendo Google, el resto de fabricantes pueden dejar a sus dispositivos tirados en la cuneta, tanto en actualizaciones de sistema como en actualizaciones de seguridad, por muchas facilidades que ponga Google para que actualicen.
Google se pone las pilas en seguridad ¿Le seguirá el resto de fabricantes?
Como ya nos comentó Enrique en el artículo que tenéis justo encima, son muchas las marcas que se han sumado al llamamiento de Google; lo importante ahora es que mantengan su presencia en este pacto, y que mantengan un ritmo de actualizaciones rápido y estable. Android puede ser un sistema seguro, pero requiere del trabajo de todos.
«La publicidad intrusiva de El Androide Libre, ¿qué es, para qué vale y cómo llega?»
Entiendo que se rentabilice el blog, es el principal motivo por el que se escribe, es difícil vivir del aire. Pero los niveles de intrusión de vuestra publicidad está alcanzando el nivel de Troyano, cual aplicación maliciosa de las tiendas alternativas de Google Play.
Ha sido abrir esta noticia y además de las múltiples instancias que tenéis en ella, me ha aparecido un «popup» en otra pestaña.
Empiezo ha sentir rechazo hacia esta práctica que estáis realizando.
Disculpad el offtopic.
Usa un navegador que te bloquee la publicidad, así de simple, yo hago así sino es imposible leer cómodamente en este blog..
¿Qué tipo de popup te ha salido? ¿Desde qué dispositivo? No debería salirte ese tipo de publicidad :S
Yo tengo el galaxy S4 y me aparece con fecha del 1 de noviembre de este año. Creo que no se le puede pedir mucho mas a samsung con un buque insignia que ya tiene casi 3 años ;). Y despues hablan mal de samsung. Yo tengo el S4 desde que salio a la venta y hasta ahora cero problemas. Es verdad que a veces tiene un poco de lag pero nada importante que no se pueda aguantar. Y para mi el S4 gt-i9500 sigue siendo mejor que muchos gama media de este año.
El año que viene si google no termina lanzando el smartphone modular ara seguro vaya por el S7 o el note 6 :D.
Buen articulo. Saludos.
Samsung (y muchos otros fabricantes) no actualizan constantemente sus terminales, para que sientas la obsolescencia en tu móvil y vayas a por el mas reciente, que por eso es que sacan y sacan terminales a cada rato.
Pero en este caso la actualización no se trata de funciones o de apariencia, sino de seguridad, así que es lo mínimo que pueden hacer los fabricantes. Asegurar que tu movil funcione bien, independiente de la versión Android que tengas. Google es el que desarrolla y lanza el parche, ellos solo deben distribuirlo en sus terminales.
El parche mas actual es el del 1 de diciembre de 2015, que no hace mucho fue liberado, si Samsung mantiene el compromiso (que debería), esta versión no debería tardar en llegarles.
Saludos!
Yo hace tiempo que tengo ese parche los samsung aun ni lo han olido
«Si tenemos un dispositivo NO Nexus | La actualización depende de nuestro fabricante»
Disculpen si mi compresión lectora no es muy buena, pero como soluciona esto la dejadez de los fabricantes? Cual es la diferencia respecto al sistema actual si continúa dependiendo de terceros?
Metele al móvil cyanogenmod actualizan bastante rapido
Yo tengo cyanogenmod y los parches de seguridad me llegan a la vez o antes que los nexus
Hola, quisiera saber si alguien me puede responder lo siguiente:
Mi movil: un galaxy s6 ahora primero dd febrero casualmente hizo 3 horas de conexion de google services cosa que no hace(reviso todos los dias la informacion de bateria en ajustes ) y esto no me salia hace arto, desde que desactive todo lo de google que me pueda comer bateria(ubicacion, google now, sincronizacion automatica, etc)
Mi dispositivo recibio hoy esa actualizacion de seguridad?