La plataforma abierta ofrece un nuevo método para controlar la seguridad.
Google entró en el mercado de los teléfonos móviles con fuerza, prometiendo que el sistema operativo Android estaría abierto de par en par de cara a los desarrolladores. Esto se diferenciaba del enfoque tradicional—los operadores de teléfono en los Estados Unidos normalmente ejercitan un control férreo sobre qué software se pude ejecutar en sus dispositivos. El popular iPhone de Apple, aunque de reciente entrada, no ha sido una excepción. Apple mantiene alejados ciertos aspectos del aparato frente a las aplicaciones de terceros, y tiene que aprobar todas las aplicaciones que se venden a través de su mercado.
Sin embargo, a medida que los teléfonos se asemejan más los ordenadores de sobremesa, se exponen a los mismos riesgos que abundan en internet. Para asegurar el éxito de Android, Google tuvo que enfocar la seguridad de los teléfonos móviles desde un punto de vista nuevo. Rich Cannings, Director de Seguridad de Android en Google, habló esta semana en la Conferencia sobre Seguridad Usenix en Montreal, Québec, en relación al diseño de la compañía.
Siempre existe un frágil equilibrio entre ser abiertos y ser seguros, afirma Cannings. “Yo podría fabricar el teléfono móvil más seguro, pero nadie lo usaría.” Un teléfono móvil realmente seguro no podría acceder internet, afirma, e incluso no podría enviar mensajes de texto o recibir llamadas.
En vez de eliminar todos los riesgos y, por tanto, eliminar todas las características, el enfoque de Google consiste en minimizar lo que son capaces de hacer los atacantes a la hora de acceder al teléfono. A la búsqueda de inspiración, Google puso su atención en la web, señala Cannings. Las aplicaciones web están protegidas por la “misma política de origen,” que bajo circunstancias normales evita que una página web intercambie información con otra web abierta por el usuario.
Para traducir este tipo de método al sistema operativo, afirma Cannings, la compañía trató cada aplicación como si fuera un usuario distinto del dispositivo. Cuando múltiples usuarios comparten un mismo equipo de sobremesa, el sistema operativo está diseñado para protegerlos unos de otros y darles a cada uno su propia cuenta. Desde una cuenta no es posible ver archivos en otras cuentas, o afectar los datos de otro usuario. De igual modo, el sistema operativo Android trata cada aplicación como si fuera un usuario distinto, por lo que si un atacante entra en el navegador web, por ejemplo, no será capaz de acceder la libreta de direcciones.
Sin embargo, el mero hecho de separar cada aplicación no era lo suficientemente seguro. No hay razón, por ejemplo, para que una aplicación como el Pac-Man tenga que acceder a internet, afirma Cannings. Por tanto, el equipo de seguridad de Android limitó el acceso de cada aplicación al teléfono a no ser que le pida permiso al usuario. Es aquí donde se toparon con otro reto.
“La mayoría de los humanos no son buenos a la hora de analizar riesgos desconocidos,” afirma. Cuando los usuarios tienen que manejar su propia seguridad, a menudo se vuelven insensibles a los riesgos y hacen clic en la palabra “OK” cada vez que una ventana de diálogo les alerta de un problema. Android está diseñado para preguntar una vez, cuando la aplicación está siendo instalada. También muestra al usuario sólo las alertas más importantes, y ofrece la opción de ver la lista completa.
Android no sólo proporciona seguridad a las aplicaciones. El equipo también puso su atención en pequeños trozos de software que normalmente son puntos de entrada comunes para los atacantes. Por ejemplo, afirma Cannings, el software que se encarga de ejectuar el audio y el video en los navegadores web, es muy complejo y suele ser un objetivo común. En Android, ese tipo de software se ejecuta de forma independiente al navegador y en un servidos de medios distinto, por lo que si su seguridad resulta comprometida el atacante será incapaz de acceder a las palabras clave o a las cookies almacenadas en el navegador.
Charlie Miller, investigador de seguridad en Independent Security Evaluators y que ha encontrado e informado acerca de varios fallos en el software dentro de la plataforma Android, afirma que la técnica de Google para colocar cada aplicación de Android de forma separada puede que realmente resulte efectiva. Por ejemplo, Miller encontró un error en el software que utiliza Android para ejecutar mp3s, pero descubrió que el acceso a esta parte del teléfono no le proporcionaba acceso a otras aplicaciones del teléfono.
Sin embargo, Miller cree que Google se basa demasiado en este método para su protección. “Es un buen sistema de seguridad, pero en mi opinión deberían existir más capas,” afirma. Un atacante podría encontrar fallos en el sistema operativo que le permitiesen traspasar las paredes entre las aplicaciones, lo que crearía fallos de software entre los programas de medios que serían tan peligrosos como los de antes, afirma.
Miller añade que los sistemas como el del iPhone evitan que las aplicaciones no autorizadas ejecuten código. El sistema de Google, por otro lado, permite que se ejecute cualquier tipo de código, lo que hace que el atacante tenga más herramientas a su lado.
Finalmente, Miller afirma que “Google se enfrenta a este otro obstáculo: ellos fabrican el sistema operativo, pero no controlan el teléfono.” La primera vez que se detecto un fallo en Android, Miller notificó a google y la compañía puso un parche en el código fuente de Android ese mismo día. Esta solución, sin embargo, no protegió a los teléfonos que ya estaban en uso. “Básicamente estaban a merced de T-Mobile [que en la actualidad ofrece los teléfonos Android a la venta en EE.UU.] para que el parche se distribuyese y se instalase en todos los teléfonos del mundo,” afirma Miller. Aunque algunos vendedores podrían responder bien ante los problemas de seguridad de sus teléfonos, él cree que otros quizá decidirían no sacar los parches jamás.
Cannings señala que cuando se encuentra un error, Google manda una notificación a los proveedores—actualmente 32 compañías en 21 países—y trabaja para ofrecerles tests de las soluciones que propone. Cuando las compañías operadoras se sienten satisfechas, envían el parche a los consumidores.
Ningún producto es jamás del todo seguro, señala Cannings, aunque Google está trabajando para preparar a Android antes los ataques de malware que inevitablemente se darán a medida que los smartphones se hagan más populares.