Tu móvil Android no está tan protegido como piensas: un estudio asegura que los fabricantes mienten sobre su seguridad

La seguridad de los móviles Android vuelve a estar bajo sospecha. Un estudio que se presentará este viernes en la conferencia de ciberseguridad "Hack in the Box" de Ámsterdam asegura que varios fabricantes engañan a los usuarios sobre las actualizaciones y parches de seguridad que se lanzan periódicamente con el objetivo de proteger a los smartphones ante posibles vulnerabilidades informáticas.

La investigación, adelantada por la revista Wired en un extenso artículo, ha sido realizada por el equipo de Security Research Labs y liderada por Karsten Nohl, Doctor en ingeniería informática de la Universidad de Virginia (Estados Unidos), y Jakob Lell, experto en ciberseguridad. El experimento que muchos de estos fabricantes no solo no facilitan los últimos parches de seguridad a sus usuarios o retrasan su lanzamiento durante meses, sino que a veces los dispositivos aseguran que el firmware está actualizado a la última versión cuando en realidad se han saltado en secreto los pertinentes parches de seguridad.

"Encontramos un vacío entre la versión [del firmware] que se dice y los que en realidad contiene el dispositivo. Es un un vacío pequeño en algunos dispositivos y muy significativo en otros", ha explicado Karsten Nohl en el citado artículo de Wired. Para llegar a esa conclusión Nohl y Lell han analizado a fondo el firmware de 1.200 teléfonos de más de una docena de fabricantes para descubrir qué hacían estas empresas cada vez que Android lanzaba un nuevo parche durante 2017.

Los resultados del estudio concluyen que, en algunos casos, estos fabricantes alteran la fecha de actualización del firmware sin instalar el parche de seguridad, "probablemente por razones de marketing" según apunta Nohl. La investigación, que se presentará este viernes en Ámsterdam durante la conferencia de ciberseguridad "Hack in the Box" apunta a fabricantes de móviles Android como Samsung, Sony, Nokia, Huawei, Motorola, LG, HTC, ZTE o TCL, aunque no en la misma proporción

En el caso de fabricantes como Samsung, Google o Sony el margen entre la versión real y la actualizada es mínima, con casos puntuales de discrepancia. Sin embargo, otros fabricantes como TCL o ZTE se encuentran de media más de 4 parches por detrás de lo expuesto.

Un engaño supuestamente deliberado

"Hemos visto que varios fabricantes no instalaban ni un parche, pero que cambiaban la fecha de actualización varios meses después [de la fecha real]. Es un engaño deliberado, pero no es muy común", sostiene Nohl. En cambio, a la hora de informar sobre los parches incluidos en un smartphone, los resultados fueron terribles.

Por ejemplo, el Samsung J3 de 2016 aseguraba contener todos los parches de seguridad lanzados por Google para Android durante 2017. Sin embargo, faltaban 12 y, dos de ellos, considerados "imprescindibles" para la seguridad del teléfono. En cambio, el Samsung Galaxy J5 de 2016 mostraba de manera fidedigna los parches instalados en el firmware del teléfono.

Leer más: El micrófono de tu móvil puede revelar mucho más que tus secretos más personales

"Es casi imposible para el usuario saber qué parches están realmente instalados", resume Nohl, quien asegura que su empresa ya ha lanzado a través de su app SnoopSnitch un sistema de detección que rastrea en el código del dispositivo para saber el estado real de sus actualizaciones de seguridad.

Tras cruzar estos datos con el precio y la gama de los smartphones analizados, "la conclusión es que si quieres comprar un dispositivo barato, terminarás con uno con peor mantenimiento" por parte del fabricante, sentencia Nohl.

El equipo de SRL también apunta a los procesadores de los móviles como otro de los posibles motivos del origen de este problema, ya que es significativo que los datos del estudio apunten a que los smartphones con procesadores de Samsung hayan "esquivado" en secreto de media un número menor de actualizaciones respecto a los móviles que funcionan con chips de MediaTek, más comunes entre los móviles baratos vendidos por marcas chinas.

La respuesta de Google

El sistema operativo Android es responsabilidad de Google, que facilita los parches de seguridad a los distintos fabricantes con los que trabaja a medida que se descubren nuevas vulnerabilidades. El proceso de actualización de los móviles ha sido motivo de debate a lo largo de los últimos años ante la incapacidad manifiesta de proteger los smartphones ante los sucesivos agujeros de vulnerabilidad y fallos de código detectados.

Para intentar corregir esta situación Google decidió lanzar mensualmente una actualización de seguridad con el objetivo de asegurar la máxima protección posible a los usuarios, con el compromiso de algunos de los principales fabricantes del mercado de facilitar esas actualizaciones con esa periodicidad a los usuarios. Esta investigación, sin embargo, cuestiona el modelo actual ante los supuestos engaños de los fabricantes.

Leer más: Esto es lo que ganan Facebook, Instagram, Twitter y Google con tus datos personales

Wired explica que en un primer momento Google cuestionó la validez de la investigación de SRL al señalar que algunos de los dispositivos examinados podrían no contar con el sello de o certificado Android, lo que significa que no cumplen con los estándares de seguridad de la empresa.

En este sentido, los responsables de Google aseguran que los móviles Android de última generación cuentan con características técnicas que los hacen difíciles de piratear incluso cuando no tienen instalados los últimos parches de seguridad. Y precisan que las marcas pueden haber descartado parches de seguridad eligiendo eliminar una funcionalidad vulnerable del dispositivo en lugar de aplicar el parche, o porque ese modelo en concreto no posee la funcionalidad susceptible del agujero de seguridad.

"Las actualizaciones de seguridad son una de las muchas capas que se utilizan para proteger a los dispositivos y usuarios de Android", explica el jefe de seguridad de Android, Scott Roberts, en un comunicado enviado a Wired.

Después de la publicación del artículo, Google ha enviado un comunicado a los medios estadounidenses que agradece el trabajo de Nohl y Kell y asegura que la compañía ya está cooperando con ellos para mejorar los mecanismos que puedan identificar estas discrepancias a la hora de aplicar las actualizaciones:

"Nos gustaría agradecer a Karsten Nohl y Jakob Kell por sus continuos esfuerzos para reforzar la seguridad del ecosistema Android. Estamos trabajando con ellos para mejorar sus mecanismos de detección para tener en cuenta las situaciones en las que un dispositivo utiliza una actualización de seguridad alternativa en lugar de la actualización de seguridad sugerida por Google.

Las actualizaciones de seguridad son una de las muchas capas que se utilizan para proteger a los dispositivos y usuarios de Android. Las protecciones integradas en la plataforma, como el sandboxing de aplicaciones y los servicios de seguridad como Google Play Protect, son igualmente importantes. Estas capas de seguridad, combinadas con la enorme diversidad del ecosistema Android, contribuyen a las conclusiones de los investigadores de que la explotación remota de dispositivos Android sigue siendo un reto".