🧕🏾 👩🏻‍🚒 🐥 A nadie le importa la seguridad de los teléfonos Android desbloqueados 👨🏽‍🌾 🤶🏼 ➡️

No puede ser que Amazon participe en el lanzamiento del producto estrella, que tiene una puerta trasera, y secretamente envía toda su información personal a un servidor incomprensible en China. Por supuesto, sus desarrolladores o socios de producción habrían captado este comportamiento durante una auditoría de seguridad de rutina. Simplemente no puede suceder, ¿verdad?

A nadie le importa la seguridad de los teléfonos Android desbloqueados que no están vinculados a un proveedor, vendidos en los Estados Unidos (y en muchas otras regiones). A los fabricantes de equipos originales que fabrican y suministran teléfonos Android les importa un comino; A Google, el proveedor de la plataforma Android, no le importa un comino; A los minoristas como Amazon y Best Buy, que venden millones de teléfonos Android anualmente, les importa un comino. Lo peor de todo es que al usuario promedio no le importa un comino la seguridad de la computadora hasta que ocurra algo malo, razón por la cual todo continúa.

Este siempre ha sido el caso con los dispositivos Android, pero Google comenzó a tomar esta situación más en serio en el verano de 2015, cuando el error Stagefright fue ampliamente reportado en los medios. Los expertos en seguridad dicen que los dispositivos de Google, Nexus y Pixel, se acercaron a iOS según los estándares de seguridad, pero en general la situación empeora cuando la mayoría de los consumidores compran teléfonos inteligentes con software que no es compatible con Google.

Recordamos este grave problema cuando Amazon tuvo que recordar el BLU R1 HD , su teléfono más vendido, después de que un especialista en seguridad descubriera una puerta trasera oculta gracias a una "combinación de curiosidad y coincidencia afortunada". Estos dispositivos, así como algunos otros modelos BLUrecopilamos y transmitimos información personal a un servidor en China cada 24-72 horas. Este comportamiento no fue apreciado por el usuario. Los datos incluían la posición exacta del dispositivo, mensajes de texto, listas de contactos, registros de llamadas, aplicaciones instaladas, etc.

El director de BLU le dijo a NYTimes que "obviamente no sabíamos nada sobre esto" y admitió un error. Y aunque es bueno que lo haya solucionado tan rápido, es muy preocupante que ni BLU ni Amazon lo hayan atrapado solos desde que se lanzó el teléfono en julio de 2016.

¿Cómo pudo pasar esto?

Honestamente, no puedo imaginar cómo una jamba podría entrar al mercado y pasar desapercibida durante tanto tiempo, así que investigué un poco. Trabajé para fabricantes de equipos originales de Android, tengo un entendimiento común de que todas las versiones de software con los servicios móviles de Google deben pasar la prueba del Paquete de pruebas de compatibilidad (CTS). Una breve conversación con expertos en seguridad informática me abrió los ojos sobre cómo continúan surgiendo problemas de seguridad graves.

Google mantiene una lista negra de software deficiente que no se puede entregar con teléfonos Android. Me sorprendió que Google y BLU fueran conscientes de una de las vulnerabilidades asociadas con la aplicación ADUPS en chips Mediatek en 2015, un año antes del lanzamiento de BLU R1 HD. Equipo de seguridad de Red NagaEncontró la vulnerabilidad el 1 de marzo de 2015 e hizo varios intentos para eliminarla, pero se enfrentó al hecho de que " BLU no tiene un departamento de seguridad y, por lo tanto, no puede ayudar ".

Después del silencio de Mediatek y la falta de ayuda BLU, Google finalmente aceptó el parche en CTS para verificar el zócalo del sistema ADUPS. Esto debería haber resuelto el problema, pero después de eso, Mediatek simplemente cambió el nombre del zócalo para engañar a la verificación CTS.

En pocas palabras, CTS de Google no detecta vulnerabilidades que no conoce. Y Mediatek es un reincidente que periódicamente omite la prueba CTS, y algunos expertos de la industria de la seguridad lo llaman el peor fabricante de conjuntos de chips.

Aunque Mediatek tiene una mala reputación de seguridad, aún gana concursos de desarrollo porque hace todo el trabajo duro para los socios OEM que eligen sus plataformas. Si desea iniciar un dispositivo en Android de forma rápida y económica, Mediatek suele ser una solución asequible.

¿Se puede evitar esto de nuevo?

Todos debemos preocuparnos por las puertas traseras ocultas, pero un problema más grave son las vulnerabilidades conocidas que no se corrigen en la mayoría de los dispositivos Android. Google está tratando de resolver este problema prestándole atención. La compañía publica revisiones de seguridad mensuales, boletines de seguridad de Android y obliga a los OEM a mostrar el nivel de parche de seguridad de Android en la configuración del dispositivo.

Después de que la FTC obligó a HTC a corregir vulnerabilidades conocidas en 2013 , los fabricantes de equipos originales y los proveedores de servicios inalámbricos tomaron algunas medidas, y la mayoría de los dispositivos insignia vendidos en las tiendas reciben actualizaciones regularmente. Pero no todos los dispositivos los reciben, y no hay garantía de que los dispositivos sean compatibles durante mucho tiempo.

El progreso se produce solo cuando algo se rompe y los medios comienzan a joder a Google y sus socios. Por ejemplo, el ya mencionado Stagefright obligó a la FCC y la FTC a unir fuerzas para "comprender mejor y, como resultado, mejorar la seguridad de los dispositivos móviles", pero los resultados de este estudio aún no se han publicado.

Puedo predecir a qué conclusión llegarán en su informe. No hay ningún incentivo para que los OEM inviertan en soportar parches de seguridad del dispositivo después de su lanzamiento. La publicación de actualizaciones lleva tiempo y dinero, y esta dirección no afecta la toma de decisiones de los consumidores. La mayoría de los OEM no quieren gastar dinero extra para mejorar la seguridad, siempre y cuando los consumidores no quieran pagar por ellos.

¿Quién puede arreglar esto?

La culpa es de toda la cadena de suministro, pero en el futuro cercano no deberíamos esperar mejoras. Algunas reflexiones sobre lo que los diferentes jugadores podrían hacer para mejorar la seguridad de los teléfonos Android.

Google : mantiene una lista de OEMs buenos y malos sobre cómo mantienen la seguridad y publican actualizaciones, y se rumorea que avergonza públicamente a los peores fabricantes , pero al hacerlo dañará la relación con los socios. Si Google realmente quiere mejorar la seguridad, podría encontrar una manera de decirle a los consumidores qué OEM, fabricantes de componentes y otros socios no son buenos para proteger los datos de los usuarios. Por ejemplo, ¿se siente seguro al comprar productos BLU o un dispositivo con un chip de Mediatek? Google puede cambiar su próxima especificación de esta maneraDocumento de definición de compatibilidad de Android , para exigir la entrega de dispositivos con un parche de seguridad del nivel apropiado, y para mantener estos dispositivos durante bastante tiempo.

OEM : cuando trabajaba para Huawei, traté de prestar atención a los problemas de seguridad trabajando con el equipo internacional de Honor en el programa de política de actualización de software de 24 meses . Para mi sorpresa, el equipo de marketing no quiso mencionar esto durante el lanzamiento del producto, pero estoy orgulloso de que en ese momento nos convirtiéramos en el único OEM que tenía reglas similares. No son perfectos, pero mejor que nada. Solo Google garantizalanzar actualizaciones relacionadas con la seguridad 3 años después del lanzamiento de los dispositivos Pixel y Nexus. Me gustaría que más OEM tomen esta iniciativa y desarrollen sus propias reglas de actualización de software.

Minoristas : Amazon hizo lo correcto al suspender el BLU R1 HD, pero siguiendo esta lógica, necesitan bloquear otros dispositivos de venta con problemas de seguridad conocidos. Al elegir un dispositivo en la tienda de Amazon, es fácil para el consumidor averiguar qué redes admitirá, pero no hay información sobre el nivel de seguridad que proporciona.

Navegadores tecnológicos: Continúe informando un mal comportamiento del OEM de Android. Concentre la atención en las revisiones sobre cómo se admite el software y el historial de sus actualizaciones. Eduque a su audiencia para que las personas puedan tomar decisiones de compra informadas.

Consumidores : Les insto a que voten con su billetera y compren dispositivos de compañías que toman en serio su seguridad, pero su elección es demasiado limitada. Además de los teléfonos Nexus anteriores y el Pixel actual, no hay muchas opciones disponibles para las personas que valoran su privacidad y seguridad.

A nadie le importa la seguridad de los teléfonos Android desbloqueados

¿Cómo pudo pasar esto?

¿Se puede evitar esto de nuevo?

¿Quién puede arreglar esto?

More articles: