Informe: Android Jelly Bean és molt més segur

Sempre es posa en qüestió la seguretat d'Android davant d'altres sistemes operatius per a dispositius mòbils, especialment amb iOS. I no sense raó, ja que fins ara Google no ha trobat la “tecla” per oferir una seguretat que es pugui considerar com a plena.

Això sí, no deixa d'intentar-ho amb cadascuna de les noves versions que llança i, Jelly Bean no n'és una excepció. Pot ser que en aquesta ocasió sí que es produeixin millores reals en l'àmbit de la seguretat ja que Google ha decidit utilitzar de forma plena el protocol de seguretat ASLR, que també formarà part de iOS 6 i diferents versions de Windows, inclosa la destinada als telèfons Windows Phone. Per tant, les millores s'esperen de manera evident.

Però, què és ASLR i què té especial per millorar la seguretat? Les sigles signifiquen exactament Address Space Layout Randomization (espai de redireccionament aleatori) i ja deixen més o menys clar el que permet aquest protocol: al redireccionar les accions del sistema operatiu de forma aleatòria, els atacs que es reben de l'exterior, inclosos els de codi maliciós o en què s'intenta robar informació sensible, tenen molt més complicat realitzar la seva funció. En resum, en ser aleatori –el sistema operatiu sí que està capacitat per trobar ràpidament el que busca- el procés de “pirateig” o “exploit” és molt menys òptim, de manera que no es realitza o no val la pena lesforç a realitzar.

Un exemple: si un atac busca trobar cert codi d'execució, per exemple d'alguna llibreria del sistema, llança rastrejadors tant per al codi font com de la pila del sistema, però en fer-ho de la manera habitual, no té cap retorn, ja que la informació que cerca aquesta en una localització que no és habitual. Per tant, resulta ideal per a un dels majors problemes d'Android, que no és altra cosa que aplicacions no segures que intenten robar informació dels dispositius en executar-se i, el resultat, és un sistema operatiu molt més segur. Tot això si veieu perjudicat el rendiment del telèfon o de la tauleta.

També Google ha decidit incloure un altre protocol de seguretat, anomenat DEP (Data Execution Prevention), que té com a acció positiva protegir els dispositius d'atacs específics dels hackers que busquen fallades de memòria -concretament dels bugs produïts per l'ús intensiu- neutralitzant-los i deixant si efecte el codi corresponent. Per tant, s'augmenta la seguretat, encara que en aquest cas sí que la seva execució si retarda en alguna cosa la comunicació entre processador i memòria, però amb prou feines és apreciable.

Jelly Bean ha inclòs algunes altres millores pel que fa a seguretat, com per exemple que el reconeixement de cares és millor (encara que, en no ser òptim, cal anar amb compte amb el seu ús). Però, sens dubte, aquesta és menys significativa que qualsevol de les dues anteriors.

Per tant, la millora respecte a la versió Ice Cream Sandwich és molt gran, i molt més evident amb les descàrregues de les aplicacions de Google Play, per això Jelly Bean inclou millores que no s'han promocionat en excés, però que són molt efectives per als usuaris i que els faran estar molt més segur… encara que això no vol dir que s'hagi de baixar la guàrdia davant dels atacs i programari maliciós ja que, abans o després, es trobarà alguna manera de saltar-se ASLR i tant Windows, com iOS com Android hauran de buscar una altra manera de defensar-se. Però, fins aquell moment, la seguretat és millor a Android 4.1 que a 4.0.

Bons afegits per part de Google, però arriba una mica tard a aquesta “cursa” que per ara guanya iOS d'Apple, que fa gairebé un any que utilitza ASLR i DEP (i algun altre protocol com Code Signing technology). De totes maneres Android va per bon camí i, no seria estrany, que en menys d'un any se'l pugui considerar totalment segur. Si segueixen així, això és segur.