El sistema operativo Android es más seguro de lo que piensas, según su jefe de seguridad

Adrian Ludwig de Google dice que Android es más seguro que nunca parche de seguridad 2

La idea de que la plataforma Android es insegura es popular y persistente. Y muy posiblemente esté equivocado.

Apenas pasa una semana sin que aparezca un nuevo titular sobre una vulnerabilidad recién descubierta o un nuevo malware que afecta a millones de dispositivos.

Estos problemas se ven exacerbados por el hecho de que el Androide El ecosistema es complicado. Fragmentación hace increíblemente difícil actualizar la plataforma. Una gran cantidad de fabricantes de dispositivos diferentes construyen miles de teléfonos y tabletas diferentes que ejecutan diferentes versiones de Android. Como resultado, las actualizaciones con correcciones de seguridad tardan meses en implementarse o, peor aún, nunca se implementan. Demasiados fabricantes solo actualizan sus productos estrella, dejando vulnerabilidades conocidas en dispositivos más antiguos y de menor calidad que podrían poner a los usuarios en riesgo.

Relacionado

  • Google acaba de anunciar 9 nuevas funciones para tu teléfono y reloj Android
  • Google Chrome recibe la actualización de tableta Android que estaba esperando
  • Google quiere que sepas que las aplicaciones de Android ya no son sólo para teléfonos

Considere una vulnerabilidad como Miedo escénico, que podría dar a los piratas informáticos el control de un dispositivo Android mediante código malicioso en un archivo de audio o vídeo. Los informes sugirieron que hasta el 95 por ciento de los dispositivos eran vulnerables. ¿Pero cuántos se vieron realmente afectados?

“Aquí estamos después de un año y medio, casi dos años desde que nos enteramos por primera vez y todavía "No sé si alguien está realmente afectado", dijo a Digital Adrian Ludwig, director de seguridad de Android. Tendencias.

La preocupación era que Google encontró soluciones relativamente rápido y las implementó inmediatamente en la línea de dispositivos Nexus de Google. Los parches para otros dispositivos salieron a discreción de los fabricantes.

Eso significa que si tienes un Google Píxel con el último Android 7.0 Nougat, se beneficia de la seguridad más reciente, pero alguien con un teléfono con KitKat (20 por ciento de Androide dispositivos) que no han visto una actualización durante un año o más podrían haber estado en riesgo.

Es un tema espinoso que no se resuelve fácilmente, pero el equipo de seguridad de Android ha trabajado duro para reducir el riesgo para los usuarios. Las estadísticas aterradoras generan buenos titulares, pero no Androide ¿Merece la reputación que tiene de inseguridad?

Jefe de seguridad de Android, Adrian Ludwig

"Creo que tenemos un pequeño problema de percepción, pero es muy diferente del riesgo real del usuario", explicó Ludwig. "El trabajo criptográfico que hemos estado haciendo, el sandboxing que hemos estado haciendo y gran parte del trabajo para dificultar la explotación están funcionando muy bien".

Digital Trends habló con Ludwig en Google Hangouts para conocer el estado actual de la seguridad de Android y preguntar si la gente realmente debería Preocúpese por las vulnerabilidades y el malware de los titulares y conozca lo que Google está haciendo con respecto a la fragmentación para permitir una seguridad más amplia. actualizaciones.

Tendencias digitales: ¿Android es realmente inseguro?

Adrián Luis: No, no es inseguro. Hay muchas cosas que hemos hecho que han hecho avanzar las expectativas en los últimos años.

Para Mac o Windows, tenías que tener protección antivirus de terceros, pero dijimos que lo haríamos para todos y que sería gratis.

El sandboxing de aplicaciones es un concepto relativamente nuevo en el mundo de la seguridad de Android: la idea de que las aplicaciones no tienen acceso a todos sus Los datos del usuario, pero solo tener acceso a sus datos es completamente nuevo, no es algo que exista en Mac, no es algo que exista en Ventanas.

"Tenemos un pequeño problema de percepción, pero es muy diferente del riesgo real del usuario".

Luego está el cifrado de dispositivos. La mayoría de las empresas no lo tienen encendido todo el tiempo. En el espacio móvil se ha establecido la expectativa de que todo debe estar encriptado todo el tiempo e incluso existe la expectativa de que así sea. Estará tan bien cifrado que será difícil, incluso para un ataque sofisticado, acceder a esos datos sin el usuario. autorización.

También hemos aprendido mucho sobre cómo trabajan los malos actores y qué intentan hacer, y ahora nos encontramos en un punto de inflexión. Durante los primeros años estuvimos aprendiendo, ampliando nuestra comprensión y mejorando nuestra tecnología. Ahora podemos seguir el ritmo de los malos actores. Las tasas de malware, por ejemplo, se han mantenido relativamente estables en los últimos tres o cuatro años, pero creo que este es el año en el que estamos Los veremos caer, tal vez caer significativamente, porque hemos llegado al punto en el que tenemos suficiente habilidad y experiencia. Ahora podemos movernos más rápido que los actores, atraparlos antes y tomar medidas de manera más efectiva en todo el ecosistema que antes.

Creo que estamos en un punto de inflexión en el que incluso para los estándares de Android vamos a empezar a ver mejoras bastante significativas con respecto al malware.

Aún queda mucho por hacer, pero es fácil olvidar lo lejos que hemos llegado en los últimos cinco años.

Vemos muchos informes sobre vulnerabilidades con estadísticas aterradoras. ¿Cuál es el riesgo realista de que su dispositivo Android sea explotado o secuestrado? Por ejemplo, se decía que algo como Stagefright podría afectar potencialmente al 95 por ciento de Androide dispositivos. ¿Tenemos una idea de cuántos han sido realmente secuestrados utilizando esa vulnerabilidad?

Aquí estamos después de un año y medio, casi dos años desde que nos enteramos por primera vez y todavía no sabemos si alguien está realmente afectado. Hay rumores de que un pequeño número de dispositivos podrían haberse visto afectados, pero incluso de ellos no tenemos pruebas fundamentadas.

Y créanme, cada vez que escuchamos un rumor como ese intentamos perseguirlo. Vamos a hablar con la empresa que hace esa declaración. Preguntamos si hay datos que puedan compartir. Nunca hemos podido corroborar ninguna de esas cifras. Puedo decir con certeza que no hubo 900 millones de dispositivos afectados.

Ciertamente, los titulares que aparecieron y el revuelo fueron desproporcionados con la realidad y puede ser que nadie se haya visto afectado. Lo cual es increíble, creo, incluso mirando hacia atrás siempre hay una preocupación de que pueda haber algo que no estás viendo, pero el tiempo parece ser lo que revela esos puntos ciegos.

He estado trabajando en la seguridad de Android durante los últimos seis años y cada vez que miras en un área donde alguien ha dicho "es un punto ciego", no encontramos nada. Entonces, al principio decía "hay toneladas y toneladas de malware en Google Play" y miramos, había algo y lo eliminamos. Luego escuchamos "está fuera de Google Play", miramos, hay algunos, implementamos protecciones bastante buenas. Luego “va a subir el año que viene” y eso tampoco ocurrió. Ahora, “sus vulnerabilidades van a ser explotadas”, pero no vemos eso.

Una y otra vez avanzamos en lo que buscamos, en los controles que realizamos y en los servicios que brindamos para buscar malos actores, pero simplemente no vemos ningún daño real.

Dicho esto, queremos ser lo más cautelosos posible y por eso estamos invirtiendo en servicios para mirar en todos esos pequeños callejones oscuros. También estamos trabajando con socios para asegurarnos de que puedan responder lo más rápido posible, y ahí es donde hemos invertido mucho. actualizaciones de seguridad, no porque estemos viendo mucha explotación real, sino porque no queremos que eso sea un riesgo que alguna vez se presente. comprendió.

Gran parte se trata de mantenerse a la vanguardia y nunca llegar a un punto en el que haya un problema.

¿Por qué crees que persiste esta narrativa de que Android es un “infierno tóxico” de vulnerabilidades?

Hay algunas razones. Una es que la complejidad suele dar mucho miedo y la narrativa del ecosistema Android es compleja. Hay muchos OEM [fabricantes de teléfonos y tabletas] diferentes en el ecosistema, muchos modelos de dispositivos diferentes.

"[El aprendizaje automático] es una de las principales razones por las que nos adelantaremos a los atacantes".

Es difícil describir de manera muy sucinta lo que está sucediendo en el ecosistema de Android, de la misma manera que es muy difícil describir la anatomía humana o la población de la humanidad. Pero sabemos que la medicina está mejorando, y sabemos que la gente vive más tiempo. Sabemos que la gente está mejorando, pero todavía leemos muchas historias sobre personas que mueren, suceden cosas malas y enfermedades.

Creo que eso es un espejo de lo que estamos sucediendo en el ecosistema de Android. Es complicado, por lo que no suele haber una respuesta satisfactoria y súper simple, pero en general se está volviendo cada vez más seguro y sólido.

También vemos muchas historias de malware, pero ¿está en peligro el usuario promedio de Android, que nunca descarga aplicaciones fuera de Play Store?

Desde Play, el número de malware es de aproximadamente el 0,05 por ciento, lo que equivale a 5 de cada 10.000 aplicaciones, por lo que es bastante bajo. En términos de qué porcentaje de dispositivos se infectan, está en el rango en el que, si no estuviéramos hablando de ello, nadie sabría que está sucediendo.

Hablamos de ello para asegurarnos de que haya transparencia sobre el nivel de riesgo. Muchas veces las plataformas no quieren hablar de las cosas. Hacen la vista gorda. Nos gusta tener transparencia sobre los actores externos y nuestras políticas y procesos, para poder generar confianza. No queremos que la gente confíe ciegamente.

Supongo que, ciertamente, en el ecosistema de Android, Play Store es la tienda de aplicaciones más limpia. Me imagino que se compara de manera similar con otras tiendas de aplicaciones con ecosistemas más cerrados. [Creemos que Adrian se refiere a la App Store de Apple.]

Después de haberlo discutido con mucha gente, anecdóticamente, no conocemos a nadie que haya tenido un problema de malware en Android, pero yo mismo he tenido problemas en Windows. ¿Por qué todo el mundo habla de Androide ¿seguridad?

Creo que nos hemos aburrido del malware de Windows y por eso ya no es divertido hablar de ello. Android era algo nuevo y emocionante.

Todo lo que he visto lo muestra en todo el ecosistema de Android. Los cientos de millones de dispositivos que se instalan desde Google Play son un orden de magnitud más limpios que una flota corporativa administrada de dispositivos Windows. Nuestra tasa de infección es del medio por ciento a nivel mundial, donde para los dispositivos Windows administrados es mayor, y para los hogares de consumidores la tasa de infección para dispositivos Windows es aún mayor.

Pero Android es emocionante. Es un mercado en crecimiento. Es un mercado en crecimiento para los consumidores, pero creo que también es un mercado en crecimiento para la industria de la seguridad, por lo que están muy interesados ​​en asegurarse de que la gente esté consciente y piense en esas cosas. Esa es la forma de comunicación en torno a la plataforma.

Cuando encuentra malware, ¿qué tipo es el más común?

La mayor parte de lo que estamos viendo es de naturaleza comercial. Por lo general, intentan ganar dinero y el mecanismo para monetizar en dispositivos móviles es instalar aplicaciones. Vemos casos específicos de aplicaciones que buscan contraseñas bancarias o cosas así, pero la forma más sencilla de monetizar es instalar una aplicación. Un porcentaje muy grande está relacionado con lo que llamamos descargadores hostiles.

Lo interesante es que las aplicaciones que instalan no son dañinas en sí mismas. Podría ser un juego que busca obtener una promoción o podría ser otro servicio en el que se benefician de tener distribución en el mercado. El resultado final no es el tipo de cosas en las que la gente piensa cuando piensa en malware. A menudo no es alguien que intenta robar tus datos.

Allá es software espía. No quiero sugerir que no existe. Incluso publicamos una publicación esta semana describiendo un software espía de muy alta gama que encontramos, pero que estaba en 25 dispositivos. Ciertamente no es el tipo de cosa común o más popular en todo el ecosistema.

¿Hay algo inherentemente menos seguro en Android en comparación con otros sistemas operativos móviles?

No creo que haya nada inherentemente menos seguro en la plataforma. Creo que la complejidad hace que sea más difícil hacer declaraciones a nivel de plataforma.

A la gente le encanta comparar el iPhone con Android. El iPhone es un dispositivo con un sistema operativo de un fabricante, en realidad se trata de cinco dispositivos diferentes. Si nos fijamos en un fabricante de Androide — Samsung es el más grande: tiene cientos de modelos de dispositivos diferentes. Simplemente comparando Samsung con iOS ya eres aproximadamente 20 veces más complejo, en términos de este dispositivo versus aquel dispositivo. No es una comparación razonable.

¿Quizás comparar la línea Pixel y Nexus con el iPhone podría ser más justo?

Sí, muy similar en cuanto a hardware: propiedades de seguridad similares. Las tiendas de aplicaciones tienen propiedades de seguridad similares, aplicaciones verificadas, aislamiento de aplicaciones, propiedades de seguridad muy similares. Ambos tienen el compromiso de realizar actualizaciones rápidas.

"Al comparar Samsung con iOS, ya eres aproximadamente 20 veces más complejo, en términos de este dispositivo versus aquel dispositivo".

Donde se llega a la diferenciación es en la transparencia. Android es de código abierto. Esa información está disponible para todos. Fomentamos la investigación de terceros a través de nuestro programa de recompensas de seguridad, por lo que sabemos que no solo ¿Estamos buscando problemas en la plataforma, pero otras personas también lo están y eso genera un gran impacto? diferencia.

Creo que los servicios también marcan una gran diferencia. Hemos diseñado intencionalmente la visibilidad y la capacidad de verificar dispositivos en el campo, algo que no existe en ninguna otra plataforma. Significa que recibimos retroalimentación sobre muchas pequeñas cosas que están sucediendo y podemos responder a ellas.

¿Cómo se combate la lenta implementación de actualizaciones de seguridad para dispositivos Android que no están en stock? ¿Es frustrante?

Realmente apreciamos cuántas personas han adoptado Android y cuántos dispositivos lo han hecho. Androide en ellos. La realidad de esa enorme diversidad del ecosistema es que algunos fabricantes se moverán muy rápidamente y otros lo harán más lentamente.

Hemos dedicado mucho tiempo durante el último año a tratar de ayudar a aquellos que avanzan más lentamente para resolver algunos de sus problemas. desafíos tecnológicos, resolver algunos de sus desafíos de ingeniería y, en algunos casos, su organización desafíos. Es posible que carezcan de un equipo de ingenieros para proporcionar actualizaciones. Quizás no pensaron en eso, así que preguntamos qué podemos hacer para que llegues a un punto en el que hayas pensado en ello y tenga sentido.

Definitivamente complica las cosas, pero también es la razón por la cual Android ha tenido tanto éxito, porque muchas personas diferentes pudieron lanzarse y comenzar a construir dispositivos.

¿Qué medidas ha tomado el equipo de Android para hacer la plataforma más segura? ¿Y cuál es la siguiente área que le gustaría abordar o mejorar?

Creo que todas las piezas están encajando muy bien. Ha sido un viaje de varios años, pero el trabajo criptográfico que hemos estado haciendo, el sandboxing que hemos estado haciendo, mucho de El trabajo para hacer que la explotación sea más difícil está funcionando muy bien, así que esas son las áreas en las que vamos a seguir trabajando. en.

¿Por qué es importante el sandboxing?

El sandboxing en un nivel fundamental se trata de cómo aislar una aplicación de otra. Un juego es un ejemplo perfecto, uno en el que la gente no piensa en ello, pero en una PC, los juegos suelen estar conectados en red. Son una de las pocas cosas en ese tipo de dispositivo que tiene servicio de puerto de red, por lo que es una de las piezas de software más aterradoras que se ejecutan en la mayoría de los dispositivos de consumo. Si comprometes un juego, el autor del juego puede ser perfectamente benigno, pero ese juego tiene acceso a todo lo que hay en tu PC.

Mientras que en Android ese no es el caso en absoluto. Luego también debes comprometer el sistema operativo central para poder ir más allá. Para nosotros, fue realmente importante asegurarnos de que siempre haya que comprometer el código de Google, el código de Android, para llegar al punto en el que se pueda hacer algo que realmente perjudique al usuario.

¿Qué importancia tiene el programa de investigación de terceros para encontrar errores y vulnerabilidades?

De hecho, es realmente importante. El año pasado pagamos casi un millón de dólares a los investigadores. Creo que hubo alrededor de 120 investigadores diferentes que encontraron problemas y nos los informaron. Vienen decenas cada mes, por lo que es muy importante para nosotros.

Una cosa que sucedió realmente y que es realmente interesante es que comenzamos a recibir más y más informes de problemas, no en Android, sino en otros componentes que están en el dispositivo. Por ejemplo, esta semana hubo un informe de un problema en los controladores de Wi-Fi de Broadcom que afectó Androide, dispositivos iOS y cualquier otra persona que estuviera usando ese tipo de controladores. Ese es el tipo de cosas que vemos cada vez más.

¿Está empezando a desempeñar un papel el aprendizaje automático? ¿Tiene suficientes datos para que sea efectivo?

Ahora tenemos una gran cantidad de datos y hemos comenzado a encontrar algunas técnicas de aprendizaje automático que funcionan muy bien para diferentes tipos de cosas. Una cosa para la que el aprendizaje automático funciona muy bien es para encontrar otras aplicaciones que también sean malware. Cuando encontramos una aplicación mala, es posible que podamos eliminar mil o más aplicaciones ese mismo día que sabemos que están relacionadas según técnicas de aprendizaje automático.

¿Y espera que eso mejore con el tiempo? Obviamente, está aprendiendo, ¿debería mejorar?

"El aprendizaje automático nos permite desarrollar capacidades de protección mucho más rápidamente".

Es una de las principales razones por las que en los próximos años nos adelantaremos a los atacantes. El aprendizaje automático nos permite desarrollar capacidades de protección mucho más rápido de lo que un humano puede mejorar su ocultación. Esta es, en última instancia, la razón por la que el malware en el pasado ha sido persistente: porque incluso cambios muy pequeños pueden ocultarlo. efectivamente. Ese ya no será el caso.

¿Reforzar la seguridad significa perder parte de la apertura y personalización que han ayudado a hacer de Android el sistema operativo móvil más popular del mundo?

De nada. La apertura, la personalización y la seguridad de Android se encuentran entre sus mayores puntos fuertes. Creemos que es posible seguir mejorando en los tres.

Cuando nos enfrentamos a una característica que parece poner estos principios en conflicto, haremos todo lo posible para encontrar un enfoque que sea equilibrado. Una estrategia común es hacer que el valor predeterminado sea más seguro (para proteger a tantos usuarios como sea posible) y al mismo tiempo permitir a los usuarios elegir (para permitir la personalización).

Hacemos lo mismo con los OEM [fabricantes de dispositivos], definiendo un modelo de seguridad que sea sólido, pero que también brinde una gran cantidad de oportunidades para innovar y personalizar. La diversidad resultante es en sí misma una mejora de la seguridad, ya que se sabe que los monocultivos son más susceptibles al riesgo sistémico. Y en algunos casos, esa personalización conduce a mejoras de seguridad innovadoras, lo que es una bendición para el ecosistema.

¿Crees que se necesitan antivirus, antimalware y otras aplicaciones de seguridad de terceros para Android?

Estamos comprometidos a hacer de las protecciones gratuitas proporcionadas por Google Play la mejor protección del mundo. Creemos que ya lo hemos logrado y continuaremos publicando información que permita a otros verificarla y confirmarla por sí mismos.

¿Qué consejo le darías a un usuario de Android con problemas de seguridad? ¿Qué acciones potencialmente los ponen en riesgo y qué pueden hacer para mantenerse a salvo?

Hemos publicado un artículo del centro de ayuda sobre este tema. aquí.

Recomendaciones de los editores

  • Tu plan Google One acaba de recibir dos grandes actualizaciones de seguridad para mantenerte seguro en línea
  • ¿Cuándo mi teléfono recibirá Android 13? Google, Samsung, OnePlus y más
  • Google paga una multa histórica de 85 millones de dólares por rastrear ilegalmente teléfonos Android
  • Android 13 ya está aquí y puedes descargarlo en tu teléfono Pixel ahora mismo
  • Con aplicaciones optimizadas, las tabletas Android finalmente serán más que teléfonos grandes