Ayer saltaban las alarmas entre todos los usuarios de Android mediante una noticia terrible: una pequeña startup revelaba un exploit que ponía todo el sistema operativo en jaque, abriendo la puerta a los desarrolladores de software malicioso a hacer y deshacer en los terminales con Android teniendo incluso acceso root, lo que se traduce en total libertad para acceder a los datos más comprometidos del usuario. Solucionar la vulnerabilidad de Bluebox, otro problema al que nos enfrentamos los usuarios.
Durante todo el día de hoy, la noticia de la vulnerabilidad en Android ha seguido resonando en los medios y muchos -entre los que me incluyo- hemos temido que nuestros terminales puedan haber sido atacados y que no nos hayamos percatado de ningún cambio en el sistema. Esto en otras plataformas no sucede y desde luego este tipo de noticias echan por tierra el maravilloso trabajo que está haciendo Google con Android.
No obstante, polémicas aparte, cabe poner un poco de cordura entre todo el revuelo que se ha formado y tratar de verter algo de luz e intentar solucionar la vulnerabilidad de Bluebox. ¿Puedo confiar en que mi dispositivo está seguro? ¿Puedo tomar alguna medida para evitar ser atacado? ¿Es más vulnerable mi dipositivo al haber instalado una ROM modificada? Esta y algunas otras preguntas son las que trataré de exponer en este artículo, tratando de explicar qué ha sucedido, qué significa para Android y cómo solucionar la vulnerabilidad de Bluebox en Android. Pero empecemos por el principio.
¿Ante qué fallo de seguridad estamos?
Primero de todo, cabe empezar por la firma digital que certifica las aplicaciones. Todas las aplicaciones de Android, sin excepción e incluyendo las propias de Google o las que provienen de la capa de personalización de cada fabricante incluyen una clave criptográfica. Esta clave es la llave para poder actualizar la aplicación desde la Play Store, por ejemplo, lo que significa que sin ella no podrías actualizar la app en tu dispositivo. No tendríamos que preocuparnos por solucionar la vulnerabilidad de Bluebox si este sistema funcionara correctamente.
Pero lo que ha demostrado Bluebox con esta vulnerabilidad en Android es que existe un método para adentrarse en las entrañas de cualquier aplicación de Android y corromperla sin necesitar esa llave criptográfica de la que hablábamos. El problema, que ya es gordo de por sí, aumenta cuando se descubre que se pueden modificar las aplicaciones del sistema, aquellas que tienen acceso root al terminal, sin que salte ninguna alarma y el usuario no perciba ningún cambio en su dispositivo.
¿Está mi dispositivo a salvo?
Depende. ¿Recuerdas esa casilla en el menú de configuración de tu Android que te permite instalar aplicaciones externas? Si no la tienes activada puedes sentirte tranquilo y seguir instalando aplicaciones de la Play Store, no tendrás que solucionar la vulnerabilidad de Bluebox porque, sencillamente, no te afectará. Además, como mi compañero Dani comentaba ayer, el fallo de seguridad fue reportado por Bluebox en febrero y aunque Google no ha realizado ninguna actualización de software para solventarla, sí se han producido cambios en la Play Store para solucionar el problema y que las aplicaciones de la tienda de Google no puedan atacar a otras.
No obstante y esto son buenas noticias para los usuarios del Samsung Galaxy S4, quienes no necesitan solucionar la vulnerabilidad de Bluebox, pues es el único smartphone Android al que no le afecta directamente este fallo de seguridad. Al parecer, la versión de TouchWiz del Samsung Galaxy S4 soluciona los problemas encontrados por Bluebox. El resto de terminales están en mayor o menor medida en peligro. Evidentemente, los usuarios con permisos root y ROMs modificados tienen más papeletas para estar desprotegidos, básicamente debido a que tienen más aplicaciones con acceso a todo el sistema. Por cierto, olvídate de confiar en ningún antivirus para solucionar el problema, no servirá de nada.
¿Cuál es la magnitud del problema?
No nos engañemos: estamos ante una vulnerabilidad en Android que supone uno de los fallos de seguridad desde que la plataforma se lanzó. Pero solucionar la vulnerabilidad de Bluebox, es tan sencillo de solucionar como descargando sólo aplicaciones de confianza. Descarga desde la Play Store y estáte tranquilo, instala aplicaciones descargadas desde foros, tiendas de terceros u otros y prepárate para, al menos, estar intranquilo ante este problema.
El peor de los problemas es, no obstante, el que pone de manifiesto que algo debe cambiar en la plataforma de Google: las actualizaciones. No es de recibo que una gran mayoría de los terminales Android del mercado nunca verán una actualización que solucione la vulnerabilidad en Android encontrada por los chicos de Bluebox. Y no es la primera vez, a los fallos de seguridad se añaden los -todavía peores- movimientos de reacción por parte de las empresas que manufacturan los dispositivos, operadores y, evidentemente, los propios chicos de Google. Sencillamente, no es de recibo que sea el usuario el que deba solucionar la vulnerabilidad de Bluebox, es al usuario el que debe estar protegido.
Una vez más, se tiene que imponer la cordura: de momento, desconfía más que nunca de aplicaciones confianza e incluso plantéate seriamente si verdaderamente merece la pena instalar aplicaciones externas. Hay mucho más en juego de lo que te imaginas y tu dispositivo es una fuente de información que seguro quieres mantener a buen recaudo.