Estupideces sobre la seguridad de Android

Hoy estoy que me parto de risa. Hay una consultora en seguridad que ha hecho un estudio que avala su CTO titulado Los móviles más vulnerables del 2011 en el que sólo se han analizado móviles basados en Android. Los demás móviles se asumen invulnerables sin ningún análisis. Porque yo lo valgo. Pero no os perdáis los dos únicos argumentos para afirmar que Android es un sistema vulnerable:

1. Porque recibe pocas actualizaciones
A ver, recibir muchas o pocas actualizaciones no tiene nada que ver con la seguridad. Podemos tener un sistema que sea una roca y que no se actualice nunca o un sistema que sea una roca gracias a múltiples actualizaciones. Y viceversa.

2. Porque cada operador personaliza el sistema
Si la personalización no tocara partes sensibles, los sistemas resultantes serian igual de seguros que el original. Si las personalización hace vulnerable el sistema, el problema está en el que toca el sistema, no en el sistema propiamente.

En cualquier caso, la seguridad de un sistema no se mide así de arbitrariamente.

Mirad, podría aceptar un estudio técnico de vulnerabilidad basado en una serie de ataques genéricos como se hace con los portales web. Se atacan varios sistemas, se hace un ranking y eso sería más creíble.

Otra manera de hacer este estudio sería utilizar datos estadísticos de ataques hechos por agentes maliciosos y sus resultados. Sobre estas estadísticas se podría concluir qué plataformas son las más vulnerables / atacadas.

Incluso aceptaría un concurso de hackers contra móviles para ver con qué dispositivos estos se podían ensañar más.

Pero esto que ha hecho esta empresa, en mi opinión, va en contra de su buena imagen. Lo bueno es que hay medios que se hacen eco de este análisis. Que no os engañen. De niños decíamos “yo tengo un Mac porque tiene menos virus” cuando MS se derretía en ataques. Nunca supimos si Mac OS 7.6 era más seguro que Windows95, pero para nosotros lo era por ser menos atacado. Para estos señores, sería lo contrario, como Apple no actualizaba casi nunca y MS tuvo que actualizarse a menudo por los virus, Windows hubiera sido más seguro.

Si queréis leer un buen informe sobre seguridad en movilidad echad un ojo al estudio que hizo Symantec comparando iOS y Android hace unos meses (A Window Into Mobile Device Security). Para el que no quiera leer las 23 páginas, analizan tres factores:

1. Protección contra ataques
2. Encriptación y control de acceso
3. Aislamiento de aplicaciones

La conclusión es que tanto iOS como Android son dos plataformas muy robustas en seguridad dado que ambos sistemas parten del enfoque de hacer seguro el sistema, más que permitir que haya aplicaciones que securicen como un antivirus. Destacando más iOS en los puntos 1 y 2 y aflojando en el tercero. A la inversa que Android. Las vulnerabilidades no las encuentra Symantec en el propio sistema sino en el uso que hacemos los usuarios al sincronizar con servicios cloud u otros dispositivos con sistemas más vulnerables.

18 comentarios sobre “Estupideces sobre la seguridad de Android

  1. Ummm ¿?y cuanto esperara esta compañia o alguna hermana suya para sacar una aplicacion “antivirus puff” para android¿? Esta claro de donde vienen todos estos “analisis” son partes interesadas en un mercado de negocio que no tendriamos sino fuera por la mierda que desde ms se han apresurado a sacar cada cierto tiempo

    Me gusta

  2. No importa quien escribio la nota. es muy logico lo que dice asi que lo debe haber escrito alguien mas inteligente que los que escriben las notas promedio. y encima con bibliografia de confianza de la mejor empresa antivirus. Nota mas confiable imposible!!

    Me gusta

  3. Android es inseguro porque al instalar aplicaciones gratuitas o no, damos demasiados permisos a esa aplicación y “confiamos” en que el autor de la misma no hará nada malo. Al no haber ninguna o casi ninguna supervisión por nadie, cualquier persona puede subir aplicaciones maliciosas.

    Es como si en nuestro pc estuviesemos instalando virus a mano, en el fondo no son virus porque los hemos instalado nosotros.

    Me gusta

  4. Luilli , android no es inseguro por eso . . . eso son todos los sistemas , si a cualquier sistema le metes malware es inseguro , eso es lógico.
    Por otra parte estoy en contra de lo redactáis en el articulo , en parte android si que es mas inseguro que iOs principalmente por lo que se dice, la diversificación y personalización de roms hace que se abran puertas de acceso vulnerables a ataques ,no obstante tiene mérito , iOs solo tiene 1 version oficial para muchos dispositivos(por asi decirlo) mientras que cada telefono de android dispone de sus roms personalizadas oficiales o no oficiales.
    Igual si no metiesen la mano las operadoras chapuzas para dar por culo ,o si ya que te instalas algo lo haces de desarrolladores fiables bajarian las amenazas bastante.

    Por otro lugar las actualizaciones si que son importantes , si se encuentra algun agujero y no se actualiza la version(como suele ocurrir en telefonos “obsoletos” ) el fallo sigue ahi y eso para mi es un problemon!!

    Pese a estas cosas estoy super agusto con mi android y dudo que me pase tanto a BB como a aiPhone 🙂

    Un saludo.

    Me gusta

  5. Caballero, entiendo que el estudio creaba alarmismo, pero las actualizaciones en verdad son muy importantes en un sistema conectado a redes. No es que tenga que actualizarse una vez al mes (aunque quizás no sería mala idea), pero por ejemplo, mi htd desire lleva sin corregir los errores hallados en android 2.1 desde hace meses.

    Lo que si que es una estupidez son los antivirus que han florecido a raiz del alarmismo. Si te instalas por accidente un “bicho”, probablemente lo primero que haga sea anular el antivirus… Eso sin contar que no suelen ser “virus” si no más bien troyanos que llevan aplicaciones aparentemente legítimas. No puedes infectarte simplemente por ir por ahí con tu móvil en el bolsillo, tienes que ser tu el que se descargue e instale algo que no debería.

    Los “virus” de android más que como la gripe son como la sífilis…

    Y con esta bonita comparación me despido, saludoos 🙂

    Me gusta

  6. Como especialista en seguridad desde hace ya unos cuantos años sólo puedo decir que me parto de risa con la cantidad de estupideces que se pueden llegar a leer.
    Echadle un ojo a los resultados de la última PWN2OWN. Competían Android, Chrome, MacOS, iPhoneOS, Windows Phone 7, Windows 7… Apple actualizó el día antes de la competición sus dos SO con actualizaciones que resolvían más de 100 vulnerabilidades conocidas y… Los primeros en caer en todas las categorías MacOS y iPhoneOS. Curiosamente el que más tardó fue Windows Phone 7 (comprensible ya que es la plataforma menos extendida y normalmente cuanto más se usa más se centran los ataques en esa plataforma).
    Android tiene fallos de seguridad bastante graves en los que Google debería centrarse para no coger mala fama, entre otras cosas. El caso de Apple con la seguridad es de lo más curioso: cuando actualiza lo hace con paquetes enormes para callar así a gran parte de la prensa pero es la compañía que más tiempo deja sin resolver sus vulnerabilidades públicas. Algo bastante esperpéntico. Esto se acentúa aún más por el hecho de tener que conectar el dispositivo a iTunes que deriva en que mucha gente no actualice si no conlleva mejoras de otro tipo.
    Ahora que Android es la plataforma más extendida empezará a ver como cada vez sale más malware dedicado a este SO. Google no debería ignorar este hecho.

    Me gusta

  7. Lo que comenta Errepunto más arriba es cierto. Las actualizaciones en este tipo de sistemas y más en esta fase relativamente temprana de su ciclo de vida (siempre son importantes pero ahora mismo más) son extremadamente importantes.
    Creo que el redactor del artículo se equivoca mucho en este punto.

    Me gusta

  8. @Norfiril discrepo 🙂 el problema no está en no hacer actualizaciones ni que los sistemas estén conectados, el problema está en el modelo de desarrollo y lanzamiento de producto. Se lanzan sistemas y hardware sin probar adecuadamente y sin ensamblar, en fase alfa o beta y se deja en manos del usuario el trabajo de testing a todos los niveles. También seguridad y por tanto las actualizaciones son la base de la calidad y de la seguridad.

    Por ejemplo en los sistemas bancarios que también están conectados a Internet hay muchas menos actualizaciones y muchos menos problemas pero se comprueba cada línea de código. La fase de pruebas toma tanto tiempo como el desarrollo y no se sube nada a PRO que ofrezca dudas.

    Me gusta

  9. Yo creo que te estás haciendo la picha un lío. El hardware tiene relativamente poco que ver aquí.
    Los bancos no actualizan porque si hay algo a lo que le tienen pánico es a la pérdida de datos. Según tu criterio deberíamos seguir usando cobol como el 99% de los bancos.
    La seguridad en dispositivos móviles está bastante verde tanto si es iPho como si es Android. Simplemente es un foco de la seguridad relativamente nuevo y te puedo asegurar que no es en absoluto prioritario en el desarrollo de los terminales. Supongo que cada vez lo será más pero a día de hoy el foco está en la cámara de fotos, juegos, gps…
    Por cierto en bancos como Santander o BBVA he visto cada churro de código que flipas. Simplemente contratan a empresas como Accenture o Everis para muchos de sus desarrollos con las que cumplen plazos de entrega a base de que exploten a su personal y en las que el personal cualificado no es precisamente la norma.

    Me gusta

  10. Gracias a todos por los comments, me encanta cuando la gente opina 🙂

    @Norfiril en el diseño de un producto/sistema la seguridad no sólo se define el software, lo mismo tu te dedicas al software y no pongo en duda que es todo un mundo pero te aseguro que hay más allá. Busca en Google ‘hardware based protection’ o ‘hardware security issues’.

    No entiendo 😦 no sé qué tiene que ver Accenture y Everis aqui, no sé a qué viene que todos los empleados no están cualificados para lo que hacen y que son unos explotados. Pensaba que gente como tu estaba por encima de afirmaciones tan ligeras.

    En general no se si te he ofendido para que utilices ese tono descalificativo, te pido disculpas si ha sido así.

    @Juan – Refraens ¿te autodefines como no cualificado y explotado? No creo. Si has trabajado para la banca lo mismo a PRE has subido alguna vez cosas poco probadas ¿pero a PRO? ¿Sin probar? ¿Poniendo en riesgo la pasta de la gente?

    @PeterPan lo que es una estupidez es no leer artículos y afirmar trivialidades. Aporta un poco del valor que tienes ahí dentro 😉

    Me gusta

  11. Si bien el estudio de seguridad podría mejorarse, el resumen aquí publicado también.

    Solamente hacen falta unos minutos para darse cuenta de que NO ES CIERTO que en documento presentado se hayan analizado solamente móviles Android: También se ha analizado el iPhone. También han valorado el análisis de las Blackberry pero dicen que con el sistema de servidores empresariales cualquier error tiene mucha menos incidencia (habría que verlo) que con el iPhone (que hay mucha gente que no actualiza) o el Android (que se actualiza menos por problemas varios).

    En consecuencia, estaría bien que para criticar un estudio mejorable, se haga un análisis impecable, lo cual no es el caso…

    Afirmaciones como: “sólo se han analizado móviles basados en Android. Los demás móviles se asumen invulnerables sin ningún análisis. Porque yo lo valgo.” son erróneas. Y pese a que yo habría incluido Symbian (y quizás las BB), sí que habría descartado como hacen ellos Windows Phone si efectivamente la cuota de mercado es del 2%, como dicen en el artículo.

    Me gusta

  12. Quiero opinar que se necesita una organización que haga análisis de vulnerabilidades de los sistemas operativos de Android, así como del IOS y de Symbian y Windows Phone.
    Esto es importante para los usuarios para proteger y tomar acción en caso de serias vulnerabilidades a la privacidad!
    Existe algo así? alguien conoce?

    Me gusta

  13. Sí, ciertamente el estudio de Symantec es bastante riguroso. Cabe comentar a partir de ese estudio que la seguridad frente a ataques web se considera máxima no porque no se puedan realizar, sino porque el sistema operativo ofrece su mejor seguridad posible frente a este tipo de ataques. El resto corre a cargo del navegador, cuyos privilegios son limitados. El asilamiento de Android es mejor que iOS ya que por defecto las aplicaciones pueden hacer mucho menos, pero en cambio da mucha más importancia al usuario en garantizar la seguridad con el amplio sistema de permisos, y esto puede resultar en un fallo de seguridad, pero también puede permitir que aplicaciones ajenas se encarguen de mejorar la seguridad, y ya hemos visto aparecer los primeros antivirus para Android. Este puede ser un mercado en crecimiento ya que ayudarían a gestionar la seguridad de los dispositivos Android.

    Me gusta

Responder a Victor Cancelar respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s