En las últimas semanas, una creciente preocupación por la seguridad de los dispositivos Android ha hecho que ciertas compañías prometan actualizaciones mensuales de sus dispositivos. Google incluida para los dispositivos Nexus que gestiona directamente.

Pero el problema real es que esas promesas son palabras que se va a llegar el viento porque, como cualquier usuario de Android habrá comprobado tarde o temprano, el tema de las actualizaciones no es el fuerte del sistema operativo de Google. Fomentar su implantación a base de perder el control sobre el mismo ha creado complicaciones, acrecentadas antes fallos de seguridad como Stagefright.

Qué es Stagefright

La diferencia entre Stagefright y otras vulnerabilidades que afectan al 90% o más de los dispositivos Android es que su vector de ataque son los MMS recibidos por un teléfono, que al recibirlos se comienza a descargar automáticamente el malware contenido en un archivo multimedia corrompido. Al menos si, como la inmensa mayoría de usuarios, se tiene activada la recuperación automática de mensajes MMS.

Una vez recibido se ejecuta por sí solo, infecta el dispositivo y luego se borra, por lo que no deja rastro de cara al usuario. Teniendo en cuenta la gran cantidad de spam telefónico que hay en forma de SMS y MMS, la vulnerabilidad es crítica, y es necesario parchear 2.000 millones de dispositivos Android. Tarea nada fácil.

computer_malware

Promesas, promesas

Aquí es donde diversas compañías han prometido actualizaciones mensuales de seguridad para sus dispositivos, en un inteno por ganar publicidad positiva. Pero cuando vas a la letra pequeña, ves que Samsung indica que son sus intenciones, pero que tiene que negociar con las operadoras para poder parchearlos en última instancia.

Tengas o no un dispositivo libre, las operadoras son las que deciden cuándo se actualizan los dispositivos conectados a su red. El proceso lo detalla muy bien Motorola, que no ha hecho promesas de actualizaciones mensuales siendo conscientes del problema de las actualizaciones.

Motorola ha desarrollado más de 200 versiones del parche de Stagefright para una veintena de sus dispositivos, que luego ha probado en los equipos y ha hecho pruebas de despliegue, para luego enviárselas a cada operadora, para que estas a su vez hagan pruebas de instalación del parche, que funcione bien y se despliegue correctamente antes de dar el visto bueno a su distribución.

android-1password-seguridad-security

Puestos a elegir, prefiero que no hagan promesas vacías

Mi punto de vista es claro: prefiero el acercamiento de Motorola de "vamos a actualizar esta vulnerabilidad para estos dispositivos" que el de Samsung de "vamos a liberar actualizaciones mensuales... si nos dejan". Motorola, una de las compañías más longevas del sector de la telefonía, sabe muy bien lo que se cuece en el sector de las telecomunicaciones y es por lo que Lenovo la necesita para mejorar su expansión global.

Incluso Google ha prometido actualizaciones mensuales de seguridad... que sólo llegarán mensualmente a los Nexus libres que están bajo su control. El resto también tendrá que pasar por el aro del visto bueno de las operadoras antes de recibirlo.

Ahora pongámonos en esta situación: resulta que una veintena de grandes fabricantes prometen actualizaciones mensuales, y requieren pruebas y despliegue por parte de las operadoras. Esto implicaría una tasa de trabajo que aumentaría exponencialmente en los trabajadores de las operadoras que realizan dichas pruebas y, ¿de verdad creéis que iban a contratar a más personal para hacerlas y que así cumplan su promesa los fabricantes de Android?

Al menos no lo veo un escenario factible en operadoras como Movistar, y el resto cojean del mismo pie. Nadie ha preguntado a las operadoras primero antes de realizar tales promesas, y ese tipo de cosas no se las toman bien. Así que, por favor fabricantes, no hagáis promesas que sabéis que no podéis cumplir.