Mitos de la seguridad móvil #4: sin la última versión de Android, no recibo updates

Muchos mitos hemos desenmascarado desde que comenzamos con esta serie de entregas discutiendo sobre el crecimiento del malware en el mundo móvil. Desde entonces, hemos comprobado que la popularidad de una idea no la hace verídica –al menos desde un punto de vista técnico–. Ahora nos centraremos en discutir sobre la manera en que los usuarios perciben el proceso de actualizaciones del sistema operativo.

Los procesos de recepción e instalación de actualizaciones son sumamente importantes para subsanar fallas de seguridad que puedan existir en los componentes del sistema. Pero ¿qué ocurre cuando estas actualizaciones no pueden entregarse en tiempo y forma a los usuarios? ¿Sabes qué parches de seguridad estás recibiendo en tu móvil?

Divide y vencerás: fragmentación en Android

El fenómeno conocido como «fragmentación» refiere al hecho de que no todos los dispositivos que funcionan con Android utilizan la última versión disponible. Más seguido de lo que nos gustaría, las actualizaciones son retenidas por los fabricantes de los dispositivos para evitar problemas de compatibilidad, lo que evita que las correcciones de seguridad lleguen a los usuarios a tiempo –e incluso puede incorporar nuevas fallas de seguridad si realizan modificaciones sobre SE Android (Security Enhancements para Android)–. En otros casos, se lanzan al mercado nuevos modelos de smartphones con versiones anteriores de la plataforma.

Cada mes Google actualiza los porcentajes de distribución de las versiones de la plataforma, de acuerdo a los dispositivos que acceden a Play Store durante un período de siete días. Hasta el 2 de noviembre del presente año, la versión 4.4 (KitKat) había alcanzado 37,8% de los casi mil millones de dispositivos con Android. Jelly Bean 4.1.x con 11,0%, la versión 4.2.x con el 13,9% y la 4.3 con 4,1% de la distribución.

Si contrastamos estas estadísticas con los números publicados por Google en julio de 2015, podremos notar una marcada disminución del porcentaje de equipos que utiliza versiones de Jelly Bean y un aumento en la proporción de usuarios de KitKat. No obstante, por alentador que esto parezca, estos datos nos indican que aproximadamente la mitad de los dispositivos actualmente en uso no corren la última versión de Android.

Ni tan oscuro como se dice, ni tan claro como gustaría

Para mitigar esta problemática, Google provee frecuentemente a sus usuarios actualizaciones parciales a través de un componente conocido como Google Play Services (GPS), que encierran un gran número de mejoras de seguridad. GPS se encuentra disponible desde Android 2.3 en adelante y su principal ventaja es que permite hacer llegar actualizaciones directamente a los usuarios, eliminando a los OEM como intermediarios.

A partir de su versión 4.4, GPS se encarga de realizar las actualizaciones OTA, reemplazando a Google Services Framework (GSF) en esta tarea. ¿Cómo sabes qué versión de GPS tienes instalada? Puedes buscarla bajo el nombre «Servicios de Google Play» desde los Ajustes del dispositivo entre la lista de aplicaciones instaladas. Verás el número de versión dentro de los detalles de la app.

GPS

Sin embargo, el problema con este modelo es que las vulnerabilidades que afectan el núcleo del sistema siguen sin poder ser desplegadas a través de este mecanismo. Entonces, aunque continúas recibiendo actualizaciones de seguridad por medio de GPS, algunas vulnerabilidades como StageFright requieren la instalación de una versión más reciente del sistema.

Como vemos, al hablar de fragmentación en Android debemos acatarnos a la filosofía Jedi de evitar los absolutos: sí, la fragmentación es un gran problema, pero aun así recibes muchas actualizaciones en tu móvil.

Lo que los usuarios de Android deben reclamar a Google a futuro es una mejor comunicación de qué vulnerabilidades son parcheadas utilizando GPS y la creación de un sistema que permita de igual manera desplegar actualizaciones críticas sin la dependencia de los fabricantes y empresas de telecomunicaciones.

Sigue leyendo: Guía de Seguridad en Android

Créditos imagen: “Promote, Speaker, Megaphone, Hold” de Joe The Goat Farmer, usada bajo CC BY / Editada por ESET

Autor , ESET

Síguenos