seguridad de Android sin actualizaciones

27

Tengo un teléfono Android que, como muchos otros, se ha vuelto rápidamente incompatible y no está recibiendo ninguna actualización. Al mismo tiempo, existen vulnerabilidades públicamente disponibles para vulnerabilidades de escalamiento de privilegios, que se utilizan principalmente para enraizar legítimamente el teléfono, sin embargo, por lo que puedo ver, no hay nada que impida que un atacante utilice estas vulnerabilidades para eludir completamente el sistema de permisos de Android. Esto ya lo hacen las aplicaciones que se usan para enraizar fácilmente el dispositivo: no requieren ningún permiso especial y pueden ejecutar las vulnerabilidades que les dan acceso completo al sistema.

Parece que lo único que impide que una aplicación de apariencia normal en el mercado pase por alto todas las restricciones de Android y tome el control de un dispositivo (que no recibe actualizaciones) espera que Google pueda detectar todas esas aplicaciones y prohibirlas del mercado. . Esto no me parece realista. La otra opción es ejecutar una ROM personalizada que a menudo recibe actualizaciones, asumiendo que confía en los desarrolladores de la ROM y asumiendo que la ROM es totalmente compatible con el dispositivo en particular.

Entonces, las preguntas son: ¿Es esto correcto o me estoy perdiendo algo? ¿Y cuál es la mejor solución para alguien que preferiría no tratar con ROM personalizadas?

    
pregunta android user 01.11.2011 - 00:49
fuente

3 respuestas

21

Sí, esto es correcto. Si su versión del sistema operativo Android tiene vulnerabilidades conocidas de escalada de privilegios, no hay nada que impida que una aplicación fraudulenta explote una vulnerabilidad de escalada de privilegios y, por lo tanto, escape de la caja de arena (es decir, obtenga acceso sin restricciones a su teléfono).

Esta ausencia de actualizaciones de seguridad es un defecto del ecosistema de Android. El ecosistema depende de los fabricantes y operadores de dispositivos para continuar brindando actualizaciones de seguridad, pero muchos fabricantes / proveedores de dispositivos se han negado a hacerlo, por razones económicas. Tratan los teléfonos como desechables y no siempre muestran lealtad a los clientes mayores. Una vez que el teléfono tiene algunos años, dejan de proporcionar actualizaciones y se centran en los últimos modelos brillantes que se venden, priorizando la venta de nuevos teléfonos por encima de los clientes anteriores. Esto no es muy respetuoso con el medio ambiente y no es especialmente adecuado para el cliente. Creo que es desafortunado, pero parece ser un hecho de la vida. Y así va.

Hay un excelente análisis de este fenómeno por Michael DeGusta. Aquí hay una infografía que muestra los resultados de su análisis:

Créditos:MichaelDeGustaenTheUnderstatement.

Actualización(26/12/2012):ArsTechnicatiene un buen resumen de la situación con las actualizaciones de Android, un año más tarde. Desafortunadamente, no es bonito: las cosas no han mejorado, y muchos teléfonos Android no están recibiendo actualizaciones. Los riesgos de seguridad permanecen.

    
respondido por el D.W. 01.11.2011 - 08:11
fuente
5

algunos puntos válidos ... Personalmente, tomo la ruta de la ROM personalizada. Menciona tener que confiar en el desarrollador, esto es cierto ... Al igual que cualquier otro proyecto de código abierto, impulsado por la comunidad. Y para el caso de Google, Apple, Microsoft, etc., me resulta mucho más fácil confiar en un proyecto abierto frente a cualquier fuente cerrada. Estas son elecciones que tenemos que hacer con todas las plataformas tecnológicas. FWIW, Cyanogen realmente funciona para Google ahora, por lo que aparentemente confían en él. (Estoy seguro de que has oído hablar de Cyanogenmod, es lo que yo y la mayoría de los demás usamos para rom de elección)

no hay muchas opciones en el nivel del sistema operativo para obtener actualizaciones si los operadores no las van a impulsar, sin ser rooteados / personalizados.

En cuanto a las aplicaciones en el mercado, solo desea mantener el sentido común, tal como lo haría para encontrar e instalar aplicaciones para su computadora. Echa un vistazo a las calificaciones de una aplicación, comentarios y recuento de descargas. Estos suelen ser un buen indicador.

    
respondido por el Zeb 01.11.2011 - 01:18
fuente
0

Por supuesto, todo es una compensación de riesgo / beneficio: el modelo alternativo de Apple también es defectuoso. Claro, diferentes defectos, pero nuevamente tienes que confiar en algo.

Si está preocupado, realmente desea verificar el código usted mismo u obtener un revisor de código independiente para que lo haga por usted. Muy complicado con Apple. Muy sencillo con algo como Cyanogen.

Para mí, Android es el único sistema operativo que me brinda la funcionalidad que necesito en un teléfono inteligente, por lo que limito mi riesgo al examinar todas las instalaciones, ejecutar antivirus y, en general, seguir las buenas prácticas.

Para Android ahora, en 2016, más operadores están ofreciendo actualizaciones, pero lo que es más importante, es más fácil comprar teléfonos independientes del operador sin tener que rootear o usar ROM personalizadas. Estos teléfonos tienden a obtener actualizaciones más frecuentes, y hasta ahora parece que el período de actualización dura más.

    
respondido por el Rory Alsop 03.11.2011 - 10:04
fuente

Lea otras preguntas en las etiquetas