seguridad de Android sin actualizaciones

Sí, esto es correcto. Si su versión del sistema operativo Android tiene vulnerabilidades conocidas de escalada de privilegios, no hay nada que impida que una aplicación fraudulenta explote una vulnerabilidad de escalada de privilegios y, por lo tanto, escape de la caja de arena (es decir, obtenga acceso sin restricciones a su teléfono).

Esta ausencia de actualizaciones de seguridad es un defecto del ecosistema de Android. El ecosistema depende de los fabricantes y operadores de dispositivos para continuar brindando actualizaciones de seguridad, pero muchos fabricantes / proveedores de dispositivos se han negado a hacerlo, por razones económicas. Tratan los teléfonos como desechables y no siempre muestran lealtad a los clientes mayores. Una vez que el teléfono tiene algunos años, dejan de proporcionar actualizaciones y se centran en los últimos modelos brillantes que se venden, priorizando la venta de nuevos teléfonos por encima de los clientes anteriores. Esto no es muy respetuoso con el medio ambiente y no es especialmente adecuado para el cliente. Creo que es desafortunado, pero parece ser un hecho de la vida. Y así va.

Hay un excelente análisis de este fenómeno por Michael DeGusta. Aquí hay una infografía que muestra los resultados de su análisis:

Créditos:MichaelDeGustaenTheUnderstatement.

Actualización(26/12/2012):ArsTechnicatiene un buen resumen de la situación con las actualizaciones de Android, un año más tarde. Desafortunadamente, no es bonito: las cosas no han mejorado, y muchos teléfonos Android no están recibiendo actualizaciones. Los riesgos de seguridad permanecen.

algunos puntos válidos ... Personalmente, tomo la ruta de la ROM personalizada. Menciona tener que confiar en el desarrollador, esto es cierto ... Al igual que cualquier otro proyecto de código abierto, impulsado por la comunidad. Y para el caso de Google, Apple, Microsoft, etc., me resulta mucho más fácil confiar en un proyecto abierto frente a cualquier fuente cerrada. Estas son elecciones que tenemos que hacer con todas las plataformas tecnológicas. FWIW, Cyanogen realmente funciona para Google ahora, por lo que aparentemente confían en él. (Estoy seguro de que has oído hablar de Cyanogenmod, es lo que yo y la mayoría de los demás usamos para rom de elección)

no hay muchas opciones en el nivel del sistema operativo para obtener actualizaciones si los operadores no las van a impulsar, sin ser rooteados / personalizados.

En cuanto a las aplicaciones en el mercado, solo desea mantener el sentido común, tal como lo haría para encontrar e instalar aplicaciones para su computadora. Echa un vistazo a las calificaciones de una aplicación, comentarios y recuento de descargas. Estos suelen ser un buen indicador.

Por supuesto, todo es una compensación de riesgo / beneficio: el modelo alternativo de Apple también es defectuoso. Claro, diferentes defectos, pero nuevamente tienes que confiar en algo.

Si está preocupado, realmente desea verificar el código usted mismo u obtener un revisor de código independiente para que lo haga por usted. Muy complicado con Apple. Muy sencillo con algo como Cyanogen.

Para mí, Android es el único sistema operativo que me brinda la funcionalidad que necesito en un teléfono inteligente, por lo que limito mi riesgo al examinar todas las instalaciones, ejecutar antivirus y, en general, seguir las buenas prácticas.

Para Android ahora, en 2016, más operadores están ofreciendo actualizaciones, pero lo que es más importante, es más fácil comprar teléfonos independientes del operador sin tener que rootear o usar ROM personalizadas. Estos teléfonos tienden a obtener actualizaciones más frecuentes, y hasta ahora parece que el período de actualización dura más.