En medio de todo el lío de la seguridad en Android nadie parece dar con una solución definitiva para este problema pero, ¿y si ya hubiera una solución? ¿Y si Google Play Services fuera la respuesta a todos los problemas en Android?
Las dos últimas semanas para Android no han sido las más fáciles. Desde la grave vulnerabilidad de Stagefright a otra descubierta dos días después, para finalmente rematar con un descuido de seguridad con nuestra huella dactilar por parte de los fabricantes, el sistema operativo de Google ha sido puesta en evidencia por su fallos de seguridad. Y lo peor es que no parece haber una solución, no sólo para este caso, sino para la seguridad en Android en general.
Sí, es cierto que el caso de Stagefright ha sido algo beneficioso para Android, pero ya lo dijo Ron Amadeo: el Armageddon de seguridad en Android puede llegar cualquier día, y la preparación tanto por parte de Google como por los OEM es muy insuficiente. Lo de que Google pase los updates a los fabricantes y esperemos semanas e incluso meses a que lleguen es algo inadmisibile, y si éstos últimos no van a hacer nada para mejorar esta situación Google ha de tomar los mandos, y quizás tenga la solución para todo desde hace tiempo en sus filas: Google Play Services.
Google Play Services ya es utilizado para que los servicios de Google funcionen en cualquier dispositivo sin importar su versión pero, ¿y si se puede estirar más su funcionalidad?
Fuente: Bloomua I Shutterstock.
Sin ponernos demasiado técnicos, la función de Google Play Services es simple pero tremendamente útil: permite un acceso total a las APIs de Google entre aplicaciones para que, sin importar la versión de Android que posea el usuario, Play Services sirva como puente entre una aplicación y una API de Maps, Localización, Drive, entre muchas otras. Sin embargo, lo verdaderamente importante de Google Play Services es su alcance: entre un 95 y un 99% de dispositivos con Android tiene instalado Google Play Services, desde Android 2.2 Froyo hasta 5.1 Lollipop, la versión más reciente.
Obviamente, nos referimos únicamente a aquellos que usan Android con los servicios de Google, por lo que forks como el de Amazon quedan fuera de este grupo de dispositivos. Por eso, aunque no cuentes con las novedades de Android per se si cuentas con una versión antigua, podrás disfrutar de todas las APIs de Google, lo que también beneficia a Google al haber más gente que utiliza sus productos. Pero ¿y si se le pudiera dar más poder a Google Play Services? ¿Y si se pudiera utilizar el alcance de esta aplicación no sólo para mejorar el ecosistema de Android, sino para mejorar su seguridad?
A raíz de Stagefright, Google ha mejorado su política de actualizaciones y fix de seguridad. Pero el mundo no acaba en los Nexus, y Google necesita un mejor golpe de efecto.
Imaginemos una situación hipotética pero plausible: una nueva vulnerabilidad embebida en el sistema en sí, extendida a todas las versiones de Android. Google podría coger simplemente deslizar una nueva actualización de Google Play Services a través del Play Store que incluyera un fix para este exploit, y dejar que la aplicación se ocupara del resto sin tener que dar cuentas a los fabricantes, incapaces de hacer llegar una actualización a todos sus dispositivos, incluyendo los antiguos y ya abandonados. Sería algo rápido, seguro y sobre todo, con un alcance amplio, algo muy demandado a Android, la cual deja (o dejaba) a dispositivos con tres años a su merced en cuestiones de seguridad.
El problema no es la seguridad en Android per se, sino en hacer llegar las updates cuando lo necesitan: lo antes posible.Por supuesto, esta solución es puramente teórica y puede ser que incluso insuficiente: quizás haya algún exploit imposible de corregir mediante este método, por lo que se tendría que buscar otro camino. También existe el riesgo de que, si se pudiera hacer entrar todo tipo de código en Android a través de Google Play Services, los desarrolladores de malware intenten explotar esta vía de entrada para hacer aún más daño al sistema operativo, por lo que Google Play Services debería estar "blindado" para que sólo Google introduzca modificaciones mediante esta vía, ya sea mediante una forma de identificación que sólo Google pudiera emitir o algo similar.
Esto nos deja con otro tema preocupante: si Google puede introducir cualquier tipo de dato en mi dispositivo Android, por definición también se podría sacar datos, algo que puede dejar aún más en evidencia a Google a la hora de respetar la privacidad de los datos, por lo que Google Play Services no sería una solución definitiva. Sea como fuere, una cosa está clara: la situación de seguridad de Android tiene que ser corregida de inmediato y, en el caso de que Google pudiera convertir en realidad lo de Google Play Services, ya fuera mediante permisos root o incluyéndolo directamente en la raíz de Android, puede ahorrar a la compañía de Mountain View muchos quebraderos de cabeza. Ahora es cuestión de llevarlo a la práctica.
Continúar leyendo...