Stagefright es una de las mayores vulnerabilidades en la historia de Android, pero las consecuencias que nos deja son las mejores imaginables. Repasamos los puntos clave.
Estamos viviendo unas semanas convulsas en el terreno Android. La empresa Zimperium descubrió Stagefright, el fallo de seguridad más grave hasta la fecha en el sistema operativo. A él se le han sumado después otras vulnerabilidades y pruebas que demuestran que la huella dactilar no está del todo a salvo. Sin duda, todo ello ha evidenciado que todo lo que rodea al ecosistema, Google, fabricantes y operadoras deben tomarse en serio el problema de la seguridad y la protección de datos, porque se estima que, sobre un 95% de usuarios de Android son o eran vulnerables.
Samsung ha sido de las compañías más rápidas en actuar, pero ¿llegarán los parches a dispositivos antiguos?
Y la respuesta por parte de esos actores no ha defraudado. Google, Samsung y LG, entre otros, ya han anunciado que lanzarán actualizaciones mensuales que contendrán parches de seguridad. De hecho, Google ha anunciado que el soporte a los Nexus en cuestión de seguridad de extiende hasta 3 años, frente a los dos años prometidos de actualizaciones grandes del sistema operativo. Esta noticia me lleva a plantear si Stagefright es lo mejor que le ha pasado a Android, y mi única conclusión es que sí, es lo mejor. Llevamos años pidiendo más seriedad por parte de los grandes responsables en esta materia, y las respuestan han sido siempre muy leves, y las actuaciones, de llegar, siempre lo hacían ante escándalos menores de los que informaban medios como Hipertextual.
Llegarán los parches a gamas medias y bajas? ¿Cuáles serán los plazos de soporte? Éstas y algunas otras preguntas aún no tienen respuesta
Lo que ha pasado esta vez es que el problema es tan grave y las críticas tan extendidas, que ya no se puede mirar a otra parte. Sin embargo, esto también ha evidenciado que, por buenas intenciones que haya tenido siempre Google respecto a esto, el descontrol en Android es muy grande, pues los parches no llegan deonde se pretende, cuando se pretende. Es el eterno retorno de la fragmentación. Aunque Google Play Services sea un poderoso aliado para acabar con ella, no afecta a la seguridad ni protege al usuario de vulnerabilidades en el núcleo.
El problema de la excelente y rápida actuación contra Stagefright es que nos muestra que, pese a que los pasos necesarios para que la actualización llegue al usuario son los mismos que con una nueva versión del sistema operativo, pues requieren pasar por operadoras y fabricantes, al tomarse todo esto en serio sí va a funcionar mejor. Y eso implica asumir lo que llevamos años sabiendo, y es que incluso teniendo en cuenta el proceso burocrático de actualizaciones y aprobaciones por parte de Google, los fabricantes siguen sin tomarse en serio tener los dispositivos actualizados.
Y lo peor es que en actualizaciones grandes como Lollipop 5.0 o 5.1 se incluyen parches de seguridad tan o más importantes que los que están próximos a lanzarse. Las prioridades, eso sí, son diferentes. Necesitamos más Stagefrights en otros ámbitos.
Continúar leyendo...