El modelo moderno de ciberseguridad se basa en cuatro pilares: confianza del proveedor, delimitación, ocultación de datos y actualizaciones. Al comprar un dispositivo con un sistema operativo preinstalado, el usuario vota con su dinero por la confianza en el fabricante. La delimitación y el ocultamiento de datos están integrados en la arquitectura de los sistemas operativos modernos, pero ¿cómo organizar la actualización del sistema operativo en sí? No se puede actualizar por sí mismo, necesita aplicaciones adicionales que descarguen e instalen actualizaciones, y el lado del servidor del lado del fabricante. Y este es un costo adicional para la empresa que produce el sistema operativo. Al mismo tiempo, cualquier actividad comercial implica minimizar costos y maximizar ingresos. Al mismo tiempo, maximizar los ingresos, así como minimizar los costos, puede tener consecuencias extremadamente desagradables para los usuarios finales de los dispositivos.
Software malicioso
El software malintencionado integrado en el firmware del teléfono inteligente es una de las buenas formas de ganar dinero extra con los usuarios. Incluso puede reducir el precio del teléfono inteligente aumentando los ingresos mediante publicidad que no se puede apagar. O vender datos personales de los usuarios de teléfonos inteligentes a otras empresas especializadas en su procesamiento. Al mismo tiempo, es bastante difícil detectar la presencia de errores de software malicioso en el firmware, a menos que se manifiesten claramente. La empresa de fabricación siempre puede decir que se trataba de un módulo de diagnóstico que olvidaron desactivar “por error”. Quizás sea cierto, o quizás no, ninguno de nosotros puede verificarlo. Y OnePlus, cuando fue sorprendido recopilando datos de los usuarios, lo explicó por la necesidad de “una mejor preparación posventa”, y fue posible negarse a recopilar estadísticas solo a través de un elemento bien oculto en el menú de configuración.
Además, los creadores de firmwares caseros pecan al integrar software malicioso en el sistema operativo de los teléfonos inteligentes. Pero esto también es bastante comprensible: desea ganar dinero con su trabajo, pero los usuarios no tienen prisa por pagar. Y recolectar donaciones tampoco compensa de alguna manera el tiempo invertido. Y los anunciantes pagan por cada mil impresiones de un banner publicitario …
Los distribuidores de teléfonos inteligentes no muy conscientes también se esfuerzan por instalar módulos maliciosos en un teléfono inteligente para no solo ganar dinero con la venta del dispositivo en sí, sino también para obtener ingresos adicionales: el tiempo es mínimo, la ganancia es máxima. Entonces, al comprar un teléfono inteligente en un sitio dudoso en 'Aliexpress', corre el riesgo de obtener una adición desagradable a la funcionalidad de su dispositivo. Y no solo en los mercados chinos se corre el riesgo de comprar un teléfono inteligente con módulos maliciosos preinstalados: en marzo de 2017, Check Point reveló software malicioso que se ejecuta en teléfonos inteligentes de fabricantes conocidos. Además, se desconoce la fuente de la infección.
Lo más molesto es que es casi imposible eliminar el software malicioso integrado en el firmware del teléfono inteligente sin derechos de root. Incluso si el antivirus escanea su dispositivo y encuentra archivos que contienen funciones maliciosas, no podrá eliminarlos. Y la obtención de root-rights es un proceso bastante lento y sin garantías de éxito, e incluso sin estudiar información saturada de términos técnicos de los foros de w3bsit3-dns.com, es prácticamente imposible.
Actualizaciones maliciosas
El sistema de actualización de software del sistema operativo implica, como ya mencioné, no solo módulos adicionales en el costado del teléfono inteligente, sino también un enlace de servidor, que brinda nuevas imágenes de firmware. Cuesta dinero crearlo y mantenerlo todo en funcionamiento, lo que desea ahorrar. Y luego las empresas que brindan servicios para distribuir actualizaciones de firmware para teléfonos inteligentes acuden en ayuda de fabricantes de tercer nivel. Pero estas empresas también quieren ganar más dinero con sus servicios, o pueden acudir personas con uniformes cosidos a camisas de civiles. En 2016, la World Wide Web se vio provocada por un escándalo por un programa de actualización del firmware de un teléfono inteligente. La aplicación, posicionada como una herramienta de actualización de firmware fabricada por Shanghai Adups Technology Company, recopiló y envió datos confidenciales recopilados de los teléfonos inteligentes de los usuarios a los servidores de la empresa. Entonces, el proceso, que está diseñado para mejorar la seguridad de los dispositivos, llevó a su compromiso. El deseo de los fabricantes de teléfonos inteligentes de reducir el costo de distribución de actualizaciones ha llegado a su lado.
También es posible comprometer el firmware del teléfono inteligente en el nivel de su transmisión a través de la red. Si la imagen se descarga a través de un canal criptográfico no seguro, o si no se verifica la integridad del archivo descargado, los atacantes no tienen que, al comprometer el servidor o el canal de comunicación, instalar módulos maliciosos adicionales directamente dentro del firmware.
Errores en el sistema operativo
Sería un error creer que, dado que el sistema de actualización para teléfonos inteligentes puede no estar bien protegido o, lo que es peor, estar infectado con malware, no debería utilizarse. Es necesario, y yo mismo considero el tiempo de soporte de software para teléfonos inteligentes como uno de los principales parámetros por los que elijo un fabricante. Desafortunadamente, la realidad es que todos cometemos errores y los desarrolladores de software también cometen errores en el proceso de creación de sus productos de software. Teniendo en cuenta que el sistema operativo, los controladores de dispositivos y las aplicaciones del sistema son software complejo, los errores en su desarrollo son inevitables. Los ciberdelincuentes pueden utilizar algunos de estos errores para penetrar en su teléfono inteligente o para obtener mayores derechos sobre el dispositivo. Las actualizaciones de firmware le permiten protegerse proactivamente de este tipo de amenazas, dejando a los atacantes sin nada. Al mismo tiempo, existe el riesgo de que en el proceso de corrección de errores, el fabricante pueda romper alguna función importante. Y no solo de fabricantes de tercer nivel, sino también de grandes proveedores. Por ejemplo, después de una de las actualizaciones recientes de OnePlus, la cámara dejó de funcionar para algunos usuarios. Esta taza no pasó y Apple – después de recibir la actualización a iOS versión 11.2, la función de desbloquear el teléfono inteligente por cara, FaceID dejó de funcionar para muchos usuarios. Ha sucedido, es y sucederá con todos los proveedores de software. Pero aquellos que han construido correctamente los procesos de aseguramiento de la calidad del software tendrán menos vergüenza.
Para mejorar el proceso de actualización Android, Google ha dividido el sistema operativo en dos partes: el kernel y la interfaz de usuario, y el kernel se puede actualizar independientemente del front-end. Google lo llamó 'Proyecto Treble'. Ahora, la empresa de fabricación, comenzando con la versión Android 8.0, tiene la capacidad de entregar actualizaciones al kernel del sistema operativo en manos de Google, y ella misma solo se ocupa de un shell personalizado, errores que no afectan en gran medida la seguridad general de los dispositivos. Sin duda, esto mejorará la estabilidad de las actualizaciones de firmware de los teléfonos inteligentes y mejorará la seguridad general de todo el ecosistema Android.
Conclusión
Si compra un teléfono inteligente con un firmware no oficial instalado de distribuidores con una reputación incomprensible, corre el riesgo de que su información confidencial termine en las manos equivocadas. Además, es posible que se muestren constantemente anuncios coloridos en chino en la pantalla del teléfono inteligente, lo que no aumenta la duración de la batería del teléfono inteligente. Y será casi imposible deshacerse de todo este milagro sin la presencia de derechos de root: ni una sola aplicación antivirus ayudará.
E incluso si compró un dispositivo inteligente de un vendedor confiable y con un firmware oficial, el propio fabricante, en busca de un ahorro de centavo, puede ponerle un cerdo.
La opción más confiable desde el punto de vista de la seguridad es comprar un teléfono inteligente de un fabricante grande y conocido, en el que está instalado el firmware oficial. En el caso de Android, también es deseable que sea un sistema operativo con soporte Treble. En este caso, la probabilidad de encontrar módulos maliciosos en el firmware es mínima. ¡Mantenga sus dispositivos en buen estado!
Ilya Rabinovich