Bien, comenzaré con la pregunta y luego elaboraré un poco más abajo. Es:
¿Por qué Google, el fabricante dominante en el mundo de sistemas operativos que no son teléfonos inteligentes con Apple, no ha adoptado un modelo directo para el usuario de distribución de actualizaciones de seguridad para Android, en lugar de seguir con el actual ¿Obviamente, el enfoque profundamente defectuoso de confiar en los fabricantes de teléfonos y los proveedores de servicios inalámbricos para probarlos, aprobarlos y distribuirlos rápidamente? ¿Qué tan importantes serían los obstáculos técnicos para mover a Android al modelo de actualización directa si Google realmente quisiera hacerlo?
Por lo tanto, ayer surgieron algunas noticias no buenas sobre el divertido conjunto de errores de seguridad del componente multimedia de Stagefright en Android. Primero, algunos fallas recientemente anunciadas en el mismo componente parece extender el alcance de los teléfonos Android afectados a prácticamente todos los que se han creado y amp; vendido. En segundo lugar, aparentemente hay aún más fallas en el mismo componente que se ha divulgado a Google y que pronto se anunciará públicamente, incluso algunos que obtendrán una etiqueta "crítica". No estoy muy familiarizado con la escena de seguridad de Android, pero ciertamente parece que se está celebrando como el evento de seguridad más importante con el que Android ha tenido que lidiar hasta ahora.
Por supuesto, el descubrimiento de vulnerabilidades terribles, en cualquier plataforma, siempre lleva a la siguiente pregunta: "¿Cuándo se va a reparar mi dispositivo?" Desafortunadamente, la forma en que funcionan las cosas ahora con las actualizaciones de seguridad de Android: Google las lleva a los fabricantes de hardware y proveedores, que tienen que firmarlas y estar dispuestas a distribuir las actualizaciones a los usuarios, la gran mayoría de ellas. Más de mil millones de usuarios de Android solo pueden esperar una de dos respuestas:
- Para los afortunados: serán meses. (Este informe , también vinculado anteriormente, cita una estimación de que generalmente se necesitan entre 9 y 18 meses para que los parches lleguen desde Google a través de pruebas y varias aprobaciones al teléfono de un usuario. Ahora, se supone que con Stagefright eso será acelerado hasta cierto punto, pero aún así ...)
- Para los desafortunados: nunca. (Algunos fabricantes de Android apenas proporcionan ningún servicio de actualización posterior a la venta para sus teléfonos. Otros parecen tener un límite de período de soporte no escrito de tal vez un año, o quizás dos, después del cual el usuario está fuera de control).
Todo lo cual plantea la pregunta: ¿por qué no puede Google hacer lo que hacen las compañías que hacen sistemas operativos para otras computadoras (PC y servidores, por ejemplo) y evitar a los OEM y proveedores de servicios para entregar actualizaciones de seguridad directamente a el usuario?
Ahora, obviamente, hay probablemente tanto aspectos técnicos como aspectos empresariales a esto. Estoy pensando más en los aspectos técnicos (aunque admito que a veces los dos son menos fáciles de separar de lo que uno podría pensar). De qué manera podría ir a un proceso de Google emitiendo directamente actualizaciones de seguridad, pero no necesariamente enviando directamente actualizaciones que involucren algo más que arreglar vulnerabilidades de seguridad - causan problemas con la compatibilidad de hardware y / o software que podrían ¿será lo suficientemente problemático para los usuarios, fabricantes de teléfonos, operadores y el propio Google que ese factor podría superar el valor de sacar estos parches mucho más rápido y mucho, mucho más ampliamente de lo que es probable en el sistema actual? ¿O es realmente un éxito a favor de que Google vaya a la distribución directa, ya que el 99% de los reporteros de noticias de seguridad & Los comentaristas parecen pensar?