Un 87% de smartphones Android son inseguros, y no es broma

El sistema operativo de Google Android es vulnerable. Los desarrolladores lo empeoran al no proporcionar parches importantes a tiempo.

Científicos británicos han comprobado que los dispositivos de Android son muy peligrosos cuando se trata de tus datos. No es broma – los investigadores de la Universidad de Cambridge han hecho una investigación profunda sobre los dispositivos: analizaron más de 20.000 smartphones de varios proveedores para descubrir que el 87,7% de los dispositivos Android son susceptibles por lo menos a una vulnerabilidad crítica.

Este hecho tan terrible surgió como subproducto de un estudio que tenía como objetivo revelar qué dispositivos (hablando de proveedores), eran los más seguros.

El experimento fue realizado con la ayuda de personas corrientes y sus smartphones: los participantes dieron su consentimiento para configurar una aplicación especial llamada Device Analyzer (analizador de dispositivos, en español) de Google Play. Esta aplicación ayudó a saber si los dispositivos eran resistentes a los ataques más generalizados, enviando datos en las versiones instaladas en cada dispositivo.

No se tuvieron en cuenta todas las vulnerabilidades – solo aquellas explotables completamente inalámbricas. De las cuales 32 eran críticas, pero solo 11 bugs que podían ser aplicados a todos los dispositivos participantes, fueron considerados durante el experimento para proveer resultados justos.

vulneruble-android-chart

Entonces, ¿por qué los diferentes proveedores ofrecen amplios niveles de seguridad? En primer lugar, depende si la versión del sistema operativo está actualizada; Google, Fundación Linux y otros desrrolladores de Android relevantes lanzan actualizaciones regularmente, incluyendo parches de seguridad para vulnerabilidades conocidas.

El hecho es que la mayoría de dispositivos de Android están esperando para obtener estas actualizaciones, así que no es tan rápido como debería. No es Google el que envía las actualizaciones OTA; la carrera de un proveedor OEM desempeña esta tarea y las actualizaciones son enviadas en el momento en que el proveedor quiera, por lo tanto, “no tan rápido”.

Con todos los fabricantes jurando a los usuarios ofrecerles un plan de soporte de dos años, muchos dispositivos dejan de recibir actualizaciones un tiempo antes de terminar su ciclo de vida (o incluso a medio ciclo). Esto significa que los modelos de smartphones basados en un Android anticuado (y por lo tanto, no parcheados), abundan, y la cantidad de estos varían por proveedor.

Para cuantificar el nivel de seguridad para varios proveedores de Android, el grupo de investigación de Cambridge introdujo el Índice FUM (MAG, en español). Esta abreviatura significa lo siguiente:

  • M (media) – la media de vulnerabilidades no parcheadas en los teléfonos por un proveedor particular.
  • A (actualización) – la proporción de dispositivos por un proveedor en particular, que emplean la última actualización de Android.
  • G (gratis) – la proporción de dispositivos que estaban libres de vulnerabilidades críticas a lo largo de la prueba.

El total normalizado de estos valores constituye el Índice FUM, con valores de entre 1 y 10. Proporciona una media al evaluar la puntuación de seguridad del proveedor.

En tan solo cuatro años, de julio 2011 a 2015, la media del índice FUM para todos los dispositivos Android, resultó ser abismalmente baja – 2,87 de 10. Los smartphones más seguros son, predeciblemente, Google Nexus. No me sorprende: Google se encarga de parchear sus propios dispositivos.

Para los dispositivos Nexus, FUM alcanza un valor de 5,17 – no muy cerca del 10. Desafortunadamente, las actualizaciones no llegan a los Nexus tan rápido: el envío de actualizaciones OTA se toma hasta dos semanas, mientras tanto el dispositivo podría no estar seguro.

Para ser justos con otros proveedores de smartphones, los campeones son LG (FUM 3,97), seguido por Motorola (3,07), Samsung (2,75), sony (2,63), HTC (2,63) y ASUS (2,35).

Los dispositivos menos seguros pertenecen al grado B y a marcas sin nombre como Symphony (0,30) y Walton (0,27). Podemos asumir que la mayoría de los chinos sin nombre disfrutan del Índice FUM igual de bajo.

Lo que es un poco inquietante sobre la investigación es la exclusión deliberada de los smartphones Huawei, Lenovo, y Xiaomi, aunque estas marcas, de acuerdo a la analítica IDC, ocupan la 2ª, 3ª y 4ª posición en el rango de smartphones para Android más vendidos a nivel mundial.

Tomando esto en cuenta, esta investigación no puede ser considerada absolutamente justa y definitiva – aunque esto no disminuye su importancia. Los investigadores lograron presentar una imagen holística (y gris) de la seguridad del ecosistema y atrajo cierta atención a puntos comunes dentro del campo de la seguridad de la información.

Deberíamos admitir que Android es un sistema terriblemente vulnerable. Y seguirá siéndolo, a menos que Google reforme el sistema operativo y el modelo de distribución para permitir un mecanismo de actualización simultáneo, regular y agnóstico para evitarle a los usuarios la misión complicada de cuidar la seguridad de su dispositivo.

Pero, ¿qué pueden hacer los usuarios para asegurar la protección de sus usuarios? Estos son algunos consejos:

  1. Instala las actualizaciones tan pronto estén disponibles. No las ignores.
  2. Descarga aplicaciones solo de fuentes de confianza y ten cuidado con páginas web deshonestas. Eso no garantiza que te evites ciertos problemas de seguridad pero sí que te evitas cierto tipo de amenazas.
  3. Utiliza una solución de seguridad – si los proveedores de smartphones tardan en lanzar los parches de seguridad y de proteger a los usuarios contra exploits, es posible que las compañías de antivirus se esmeren en esto.
  4. E intenta estar al día: lee las noticias de seguridad. De lo contrario nunca sabrás, por ejemplo, si es mejor desactivar las descargas por defecto de MMS para evitar problemas relevantes para la vulnerabilidad Stagefright.
Consejos