La seguridad, o vulnerabilidad, de Android, es un tema controvertido. Las empresas de seguridad informática públican frecuentemente informes donde advierten sobre las reiteradas vulnerabilidades de la plataforma móvil de Google. El elemento más recurrente es que la propagación de apps malignas ha alcanzado niveles formidables.
Recientemente, Eric Schmidt, presidente de la junta directiva de Google, declaró que Android era más seguro que iOS, el sistema operativo móvil de Apple, aunque sin explicar sus dichos con información concreta o verificable. Por lo tanto, la declaración puede ser considerada, en el peor de los casos, desinformación deliberada por parte de Schmidt, o en el mejor de los casos, un exabrupto sin mayor relevancia.
Recientemente, una fuente más seria, Adrian Ludwig, director de seguridad de Android en Google, dictó una charla en Berlín, Alemania, donde se refirió al tema. Ludwig dijo que un número considerablemente reducido de aplicaciones malignas logra penetrar las capas de seguridad de Android, y que Google no siempre está de acuerdo con las empresas de seguridad informática en la definición de “apps potencialmente dañinas”, y que tales empresas carecen de cifras confiables sobre índices de infección.
Mientras que las palabras de Schmidt motivaron risotadas o encogimiento de hombros, el análisis de Ludwig ha provocado respuestas más elaboradas.
Rik Ferguson, director de investigaciones de seguridad y comunicaciones en Trend Micro Europa, comenta en su blog la charla de Ludwig y, en particular, las seguridades dadas por éste en el sentido que sólo el 0.001% de las apps para Android logran penetrar “las múltiples capas de seguridad” instaladas por Google en su sistema operativo móvil, señalando que “se trata de una declaración impresionante, al tratarse de un sistema operativo tan propagado, y tan preferido por los delincuentes”.
Aparte de cuestionar el porcentaje presentado por Ludwig, Ferguson no explica cuál sería, según Trend Micro, el porcentaje real de infecciones en Android. Ferguson hace referencia a la propia detección de malware en Android, por parte de Trend Micro, señalando que la empresa ha analizado 3,7 millones de apps y actualizaciones. De este total, la empresa estima que el 18% no sólo son “apps potencialmente dañinas”, sino directamente dañinas. El 13% es considerado software de alto riesgo. De las apps malignas, más del 46% fueron detectadas en Google Play.
“Aparte del hecho que un gran número de estas capas de seguridad son dejadas totalmente en manos del usuario, en forma de ventanas de diálogo, también hay otras trampas”. Ferguson dice no haber podido encontrar en los datos disponibles indicaciones sobre el número concreto de aplicaciones que Google considera malignas, o los niveles de distribución proactiva.
A juicio de Ferguson, constituye un gran problema y desafío que “los consumidores sólo en contadas ocasiones leen las preguntas que se les están haciendo, y menos aún entienden las potenciales implicaciones de los permisos que están dando a la aplicación. Así entonces, ¿quién necesita forzar su entrada al sistema cuando el propio usuario te está dando permiso?”. Ferguson agrega que las solicitudes de permiso son hechas una sola vez, y no pueden ser revocadas subsecuentemente, de una manera expedita. “Es todo o nada, en los desarrolladores de apps apuestan por la conocida fórmula de hacer clic en ‘siguiente, siguiente, siguiente’ con la que los usuarios están familiarizados mediante la computación tradicional”.
La conclusión del artículo de Ferguson es que Trend Micro sabe más sobre lo que ocurre en Google Play que la propia Google. Será interesante entonces esperar la eventual respuesta de Google, en particular de Adrian Ludwig, a los comentarios de Rik Ferguson.
Ilustración: Blog de Rik Ferguson.
