Con más de mil millones de usuarios alrededor del globo, Android es el sistema operativo móvil número uno del mercado. Sin embargo, su particular diseño y la ausencia de reglas claras entre Google, los fabricantes y los proveedores provocan una verdadera crisis de seguridad. El último reporte sobre vulnerabilidades llega a través de la compañía Zimperium, que descubrió siete bugs de muy alto riesgo. En el peor de los casos, un simple mensaje de texto sería suficiente para intervenir a un smartphone.
¿A quién no le gustaría ser el responsable de una plataforma como Android? Si tenemos en cuenta la virtual renuncia de Microsoft al espacio móvil y la situación actual de nombres como Blackberry, estoy seguro de que les encantaría encontrarse en los zapatos de Google. Pero el éxito siempre encuentra la manera de causar problemas, y uno de los más frecuentes en Android es el de la seguridad. Repasemos un poco: Técnicamente, Android es un sistema operativo open source, y gracias a esta condición se han desarrollado toda clase de variantes y modificaciones. Cada vez que surge alguna vulnerabilidad, tanto Google como el resto de la comunidad hacen lo posible para tapar los agujeros en tiempo y forma… pero la cadena se rompe. Fabricantes y proveedores de Internet tienen muy pocos estímulos para mantener actualizados a dispositivos que en sus mentes quedarán obsoletos al año siguiente, ignorando el hecho de que esa visión resulta insostenible. Los bugs se acumulan, y la cantidad de dispositivos afectados es cada vez mayor.
El último paquete de vulnerabilidades fue reportado por Joshua Drake de Zimperium zLabs, y funciona del siguiente modo: El atacante diseña un mensaje de texto especial con un vídeo para aprovechar errores en Stagefright, motor de reproducción multimedia utilizado por Android. El vídeo en cuestión está cargado con código malicioso, y cuando el usuario abre el mensaje… eso es todo. Si los mensajes multimedia son procesados a través de Hangouts, la situación es aún peor, ya que ni siquiera es necesario abrir el mensaje, y Drake incluso ha indicado que la infección puede llevarse a cabo antes de escuchar la alerta del nuevo mensaje. La buena noticia es que Google ya publicó las correcciones. Drake envió los parches a Mountain View en abril pasado, y fueron validados en menos de 48 horas, lo que en parte revela qué tan grave es la vulnerabilidad.
La mala noticia es que la gran mayoría de los usuarios nunca recibirán esos parches. De acuerdo a las palabras de Drake, todas las versiones de Android a partir de Froyo 2.2 (incluido) se encuentran afectadas, y si nos guiamos por la frecuencia de las actualizaciones que publican los fabricantes, el porcentaje de usuarios protegidos será del 20 por ciento en el peor de los casos. En números aún más duros, hablamos de 950 millones de dispositivos Android completamente desprotegidos. HTC dijo que los parches comenzaron a ser distribuidos a principios de julio «para sus proyectos activos». La gente de Silent Circle, desarrolladora del Blackphone, confirmó que su dispositivo está en orden con las correcciones «desde hace semanas», y T-Mobile básicamente pateó el balón hacia el campo de los fabricantes. Continuará…