Seguridad de Android: una sesión de preguntas y respuestas con Adrian Ludwig de Google

Hemos estado hablando mucho sobre la seguridad en su dispositivo Android recientemente, y mientras la conversación continuaba, quedó claro que había preguntas que debían ser respondidas por una persona con mayor autoridad. Cosas como si necesitas software antivirus para tu teléfono, identificar malwarey asegúrate de que tus dispositivos estén generalmente seguro a través del uso diario son temas que se han vuelto innecesariamente embarrados. Si bien podemos atribuir parte de la culpa de esto al aluvión aparentemente interminable de artículos que nos informan sobre todo el software que existe creado para explotar a los usuarios de Android, también hay algunas preguntas legítimas sobre la seguridad de Android que no tienen respuestas.

Para ayudar a abordar esto, hemos ido directamente a la fuente. Adrian Ludwig, ingeniero jefe de seguridad de Android en Google, se tomó un tiempo por correo electrónico para dar las respuestas que estábamos buscando.

Leer más: Seguridad de Android: una sesión de preguntas y respuestas con Adrian Ludwig de Google

P: ¿De qué, exactamente, intenta Google proteger a sus usuarios de Android?

Ludwig: Diseñamos Android utilizando múltiples capas de seguridad: comenzando con las funciones de hardware del dispositivo (Trustzone, NX), a través del sistema operativo (Application Sandbox, SELinux, ASLR) y hasta aplicaciones y servicios que proporciona Google (Google Play, Device Manager, Verify Apps, etc.). También fomentamos la innovación en seguridad al permitir que terceros proporcionen soluciones de seguridad.

Las amenazas de seguridad más urgentes que enfrentan los dispositivos móviles en estos días incluyen: 1. Dispositivos perdidos y robados (para los cuales proporcionamos protecciones como pantalla de bloqueo, cifrado de dispositivos y Administrador de dispositivos Android) 2. Ataques a nivel de red (para los cuales Android proporciona servicios criptográficos y expone una superficie de ataque mínima al no tener servicios de escucha de forma predeterminada) 3. Aplicaciones potencialmente dañinas (para las cuales están diseñadas la zona de pruebas de aplicaciones de Android, la revisión de aplicaciones de Google Play y Verify Apps)

Cuando nos enteramos de una nueva amenaza potencial, comenzamos a incorporarla en nuestros planes y diseños futuros.

P: ¿Cuánto tiempo ofrece Google soporte para aspectos como vulnerabilidades de seguridad que se descubren en el sistema operativo?

Ludwig: Nuestro enfoque de una política de soporte para la seguridad de Android es proporcionar actualizaciones en todos los lugares donde creemos que se entregarán a los usuarios y mejorar la seguridad. En la práctica, esto significa que proporcionamos varios tipos diferentes de asistencia para posibles problemas de seguridad:

1. Si un problema se puede resolver actualizando Chrome, Gmail, Google Play o cualquier cantidad de aplicaciones de Google: resolveremos el problema de una manera que se remonta a todas las versiones de Android en las que cada aplicación está disponible.
2. Google Nexo dispositivos y Edición de Google Play los dispositivos reciben regularmente actualizaciones de seguridad de manera oportuna.
3. Proporcionamos parches para la rama actual de Android en el Proyecto de código abierto de Android (AOSP) y proporcionar directamente a los socios de Android parches para al menos las dos últimas versiones principales del sistema operativo. Actualmente, proporcionamos backports para problemas de seguridad que cubren Android 4.3 y versiones posteriores. WebKit en Android 4.3 es la única excepción. Es compatible con Android 4.4 y superior como actualización binaria. Sin embargo, cuando un OEM solicita ayuda para desarrollar un parche para un dispositivo que ejecuta una versión anterior de la plataforma y se comprometen a entregar ese parche como una OTA a los dispositivos, les brindaremos asistencia.
4. Siempre que sea posible, también actualizamos Servicios de seguridad de Google para Android para proporcionar una capa adicional de protección para todos los dispositivos Android, independientemente de si son todavía es compatible con los OEM. Esto incluye la comprobación de aplicaciones potencialmente dañinas y otras medidas de seguridad. comportamiento.
5. También proporcionamos a los desarrolladores de aplicaciones información y herramientas para garantizar que sus aplicaciones estén protegidas contra posibles problemas de seguridad. Esto incluye proporcionar API dentro de los Servicios de Google Play, como proveedor de seguridad actualizable que puede ser actualizado por Google sin un dispositivo OTA. También proporcionamos mejores prácticas que puede ayudar a los desarrolladores a asegurarse de que sus aplicaciones funcionen de forma segura en todos los dispositivos Android, independientemente de que sigan siendo compatibles con los OEM. Recientemente, comenzamos a escanear aplicaciones en Google Play en busca de posibles vulnerabilidades de seguridad y notificamos a los desarrolladores cuando esas vulnerabilidades son detectado.
6. Por último, pero no menos importante, compartimos información sobre problemas de seguridad (incluida la información que tenemos sobre correcciones y cualquier explotación conocida) con los socios de Android para asegurarse de que comprenden el problema, incluidos los riesgos asociados con los dispositivos que no reciben una actualización para el problema. Esto incluye agregar pruebas para posibles problemas de seguridad en el Suite de prueba de compatibilidad para reducir la posibilidad de que un OEM envíe inadvertidamente un dispositivo con un problema de seguridad conocido.

P: En el caso de que una aplicación se considere maliciosa pero no necesariamente peligrosa, por ejemplo, una aplicación que envía spam a la bandeja de notificaciones con anuncios no deseados, ¿qué herramientas están disponibles para ayudar a los usuarios?

Ludwig: Android proporciona a los usuarios controles que les permiten controlar la experiencia en su dispositivo. Esto incluye capacidades como ver los permisos de la aplicación, configurar ajustes como el capacidad de una aplicación para mostrar notificaciones, o la capacidad de deshabilitar o eliminar aplicaciones en en cualquier momento.

Si una notificación no es deseada, el usuario puede mantener presionada la notificación para ver qué aplicación la produjo y luego cambiar la configuración de notificación de la aplicación o desinstalar la aplicación.

P: ¿Qué sucede cuando Google envía un mensaje advirtiendo a los usuarios de una aplicación maliciosa y el usuario no elimina la aplicación, ya sea porque eligen no hacerlo o porque el mensaje se descartó accidentalmente?

Ludwig: Existen múltiples controles de seguridad redundantes que están diseñados para garantizar que una aplicación que se sabe que es potencialmente dañina no se instalará accidentalmente. En cada una de estas verificaciones, la mayoría de los usuarios que reciben una advertencia sobre una aplicación potencialmente dañina optan por no continuar.

Aquí están todos los pasos principales:

Google ha integrado su sistema de advertencia para aplicaciones potencialmente dañinas conocidas en el backend de muchas de nuestras aplicaciones. Entonces, por ejemplo, el navegador Chrome con Navegación segura podría advertir al usuario, incluso antes de que descargue una aplicación de un sitio web, que parece que está en un sitio web que aloja aplicaciones potencialmente dañinas.

Si eligen descargar e instalar de todos modos, recibirán una advertencia en el momento de la instalación (así como otra información, como los permisos de la aplicación, que puede ayudarles a decidir si quieren Instalar en pc).

Si aún deciden continuar, la aplicación está instalada, pero aún no puede hacer nada hasta que el usuario realmente decida ejecutar la aplicación. Por lo tanto, tienen una oportunidad más para elegir eliminar la aplicación antes de que pueda causar algún daño.

Ya sea que elijan ejecutar la aplicación o no, si está instalada en su dispositivo, entonces Verificar aplicaciones El análisis en segundo plano marcará la aplicación y proporcionará otra advertencia recomendando que eliminen el aplicación. Esta advertencia generalmente ocurre una vez a la semana, aunque el usuario tiene la opción de decir "no volver a recordarme".

P: ¿Las aplicaciones de seguridad de terceros me mantienen aún más a salvo de las aplicaciones de Play Store potencialmente dañinas?

Ludwig: Las protecciones integradas en Google Play son muy sólidas. Para los usuarios que instalan aplicaciones fuera de Google Play, recomendamos encarecidamente que habiliten Verificar aplicaciones, que se proporciona en Dispositivos Android que ejecutan Android 2.3 o superior (eso es más del 99 por ciento de los dispositivos Android) que tienen Google Play instalado.

En 2014, según los datos de Verify Apps recopilados por Google e ignorando las aplicaciones de rooting que fueron instaladas intencionalmente por los usuarios, menos de El 0,15% de las aplicaciones instaladas desde fuera de Google Play en dispositivos en inglés de EE. UU. Se clasificaron como potencialmente dañinas. Aplicaciones. Dada la protección integrada proporcionada por Verify Apps y la baja frecuencia de instalación de PHA, el beneficio de seguridad potencial de una solución de seguridad adicional es muy pequeño.

P: ¿Alguna de las funciones de seguridad de Google se aplica a los usuarios que han instalado versiones de Android de terceros (lea: ROM creadas por la comunidad)?

Ludwig: Sí, las ROM de terceros generalmente se basan en AOSP, por lo que son compatibles con la zona de pruebas de Android y muchas de ellas usan las aplicaciones de Google, incluidos nuestros servicios de seguridad.

Y ahí lo tienes. Google hace una cantidad increíble de trabajo para mantener la seguridad de Android, y una gran parte de eso se está preparando para lo que suceda a continuación. Pero siempre será un juego del gato y el ratón. Como siempre ha sido el caso, mantener su dispositivo seguro se trata de saber dónde está tocando, qué está instalando y estar lo más informado posible.

Asegúrese de consultar el resto de nuestra serie de seguridad si desea obtener más información.

¿Has escuchado el podcast central de Android de esta semana?

Cada semana, el Android Central Podcast le ofrece las últimas noticias tecnológicas, análisis y tomas calientes, con coanfitriones familiares e invitados especiales.

• Suscríbete en Pocket Casts: Audio
• Suscríbete en Spotify: Audio
• Suscríbete en iTunes: Audio