Un 87% de smartphones Android son inseguros, y no es broma
Científicos británicos han comprobado que los dispositivos de
Android son muy peligrosos cuando se trata de tus datos. No es
broma los investigadores de la Universidad de Cambridge han
hecho una investigación profunda sobre los dispositivos: analizaron
más de 20.000 smartphones de varios proveedores para descubrir
que el 87,7% de los dispositivos Android son susceptibles por lo
menos a una vulnerabilidad crítica.
Este hecho tan terrible surgió como subproducto de un estudio que
tenía como objetivo revelar qué dispositivos (hablando de
proveedores), eran los más seguros.
El experimento fue realizado con la ayuda de personas corrientes y
sus smartphones: los participantes dieron su consentimiento para
configurar una aplicación especial llamada Device
Analyzer (analizador de dispositivos, en español) de Google Play.
Esta aplicación ayudó a saber si los dispositivos eran resistentes a
los ataques más generalizados, enviando datos en las versiones
instaladas en cada dispositivo.
No se tuvieron en cuenta todas las vulnerabilidades solo aquellas
explotables completamente inalámbricas. De las cuales 32 eran
críticas, pero solo 11 bugs que podían ser aplicados a todos los
dispositivos participantes, fueron considerados durante el
experimento para proveer resultados justos.
Entonces, ¿por qué los diferentes proveedores ofrecen amplios
niveles de seguridad? En primer lugar, depende si la versión del
sistema operativo está actualizada; Google, Fundación Linux y otros
desrrolladores de Android relevantes lanzan actualizaciones
regularmente, incluyendo parches de seguridad para
vulnerabilidades conocidas.
El hecho es que la mayoría de dispositivos de Android están
esperando para obtener estas actualizaciones, así que no es tan
rápido como debería. No es Google el que envía las actualizaciones
OTA; la carrera de un proveedor OEM desempeña esta tarea y las
actualizaciones son enviadas en el momento en que el proveedor
quiera, por lo tanto, no tan rápido.
Con todos los fabricantes jurando a los usuarios ofrecerles un plan
de soporte de dos años, muchos dispositivos dejan de recibir
actualizaciones un tiempo antes de terminar su ciclo de vida (o
incluso a medio ciclo). Esto significa que los modelos de
smartphones basados en un Android anticuado (y por lo tanto, no
parcheados), abundan, y la cantidad de estos varían por proveedor.
Para cuantificar el nivel de seguridad para varios proveedores de
Android, el grupo de investigación de Cambridge introdujo el Índice
FUM (MAG, en español). Esta abreviatura significa lo siguiente:
? M (media) la media de vulnerabilidades no parcheadas en los
teléfonos por un proveedor particular.
? A (actualización) la proporción de dispositivos por un
proveedor en particular, que emplean la última actualización de
Android.
? G (gratis) la proporción de dispositivos que estaban libres de
vulnerabilidades críticas a lo largo de la prueba.
El total normalizado de estos valores constituye el Índice FUM, con
valores de entre 1 y 10. Proporciona una media al evaluar la
puntuación de seguridad del proveedor.
En tan solo cuatro años, de julio 2011 a 2015, la media del índice
FUM para todos los dispositivos Android, resultó ser abismalmente
baja 2,87 de 10. Los smartphones más seguros son,
predeciblemente, Google Nexus. No me sorprende: Google se
encarga de parchear sus propios dispositivos.
Para los dispositivos Nexus, FUM alcanza un valor de 5,17 no
muy cerca del 10. Desafortunadamente, las actualizaciones no
llegan a los Nexus tan rápido: el envío de actualizaciones OTA se
toma hasta dos semanas, mientras tanto el dispositivo podría no
estar seguro.
Para ser justos con otros proveedores de smartphones, los
campeones son LG (FUM 3,97), seguido por Motorola (3,07),
Samsung (2,75), sony (2,63), HTC (2,63) y ASUS (2,35).
Los dispositivos menos seguros pertenecen al grado B y a marcas
sin nombre como Symphony (0,30) y Walton (0,27). Podemos
asumir que la mayoría de los chinos sin nombre disfrutan del Índice
FUM igual de bajo.
Lo que es un poco inquietante sobre la investigación es la exclusión
deliberada de los smartphones Huawei, Lenovo, y Xiaomi, aunque
estas marcas, de acuerdo a la analítica IDC, ocupan la 2ª, 3ª y 4ª
posición en el rango de smartphones para Android más vendidos a
nivel mundial.
Tomando esto en cuenta, esta investigación no puede ser
considerada absolutamente justa y definitiva aunque esto no
disminuye su importancia. Los investigadores lograron presentar
una imagen holística (y gris) de la seguridad del ecosistema y atrajo
cierta atención a puntos comunes dentro del campo de la seguridad
de la información.
Deberíamos admitir que Android es un sistema terriblemente
vulnerable. Y seguirá siéndolo, a menos que Google reforme el
sistema operativo y el modelo de distribución para permitir un
mecanismo de actualización simultáneo, regular y agnóstico para
evitarle a los usuarios la misión complicada de cuidar la seguridad
de su dispositivo.
Pero, ¿qué pueden hacer los usuarios para asegurar la protección
de sus usuarios? Estos son algunos consejos:
1. Instala las actualizaciones tan pronto estén disponibles. No las
ignores.
2. Descarga aplicaciones solo de fuentes de confianza y ten
cuidado con páginas web deshonestas. Eso no garantiza que te
evites ciertos problemas de seguridad pero sí que te evitas
cierto tipo de amenazas.
3. Utiliza una solución de seguridad si los proveedores de
smartphones tardan en lanzar los parches de seguridad y de
proteger a los usuarios contra exploits, es posible que las
compañías de antivirus se esmeren en esto.
4. E intenta estar al día: lee las noticias de seguridad. De lo
contrario nunca sabrás, por ejemplo, si es mejor desactivar
las descargas por defecto de MMS para evitar problemas
relevantes para la vulnerabilidad Stagefright.
