domingo, 27 de agosto de 2017

Un vistazo a las novedades de seguridad en Android Oreo

Coincidiendo con el eclipse solar visible desde Estados Unidos, el pasado 21 de agosto Google lanzó la nueva versión de su sistema operativo móvil Android, en este caso con el nombre de versión Oreo. 




La representación de Android Oreo como el superheroe que protege al resto de androides de las amenazas externas no es para nada casual. Esta nueva versión (la 8.0 en numeración) incluye varias mejoras en cuanto a la seguridad de las aplicaciones.

La primera de ellas es que Google Play Protect viene incluida de fábrica. Este sistema, que fue presentado en mayo durante el evento Google I/O, es una capa de seguridad adicional que engloba  diversas medidas que ya se estaban implementando (como Verify Apps o Safe Browsing) e incluye algunas nuevas. Por ejemplo, el escaneo de aplicaciones utiliza datos obtenidos mediante Machine Learning, comparandolos con las aplicaciones instaladas y notificando en caso de detectar comportamiento malicioso.

El cambio que más puede afectar al ecosistema Android (y no solo en cuanto a seguridad) es la eliminación de la famosa opción "Orígenes desconocidos" para permitir instalaciones desde fuentes externas a Google Play. Ésta da paso a un sistema más granular que otorga permisos de instalación por aplicación. Con este cambio, se elimina la "barra libre" para cualquier origen una vez se activaba, garantizando que solo las aplicaciones permitidas pueden instalar a su vez aplicaciones.


La nueva funcionalidad "Instalar otras aplicaciones" permite un control granular de los permisos de instalación desde fuentes externas.

Otra mejora, esta vez en cuanto al uso de datos privados, es la integración de la API Autofill. Hasta ahora, los sistemas de gestión de contraseñas, como LastPass, tenían que pedir permisos del sistema para poder interactuar con los formularios. Haciendo uso de esta API, esta interacción se facilita y se extiende a todo el sistema, incluyendo tarjetas de crédito, direcciones postales y otros tipos de datos privados, facilitando el uso de este tipo de aplicaciones.

Una de las nuevas características que quizá estén pasando más desapercibidas es la implementación del Project Treble. Esta funcionalidad mueve las capas de abstracción de hardware (HALs) a sus propios procesos, fuera del proceso que las está llamando. De esta manera se asegura el aislamiento entre los procesos del sistema operativo y el hardware, dificultando que vulnerabilidades explotadas en unos se extiendan hacia el otro. 






Otra ventaja de Project Treble es que desacopla la actualización de software controlador del sistema operativo, permitiendo publicar actualizaciones de manera independiente y evitando tener que hacer nuevas versiones para cada actualización de Android.

Cambiando a la seguridad física, la nueva funcionalidad Find my device permite la localización, desbloqueo y borrado de un dispositivo en caso de robo o perdida, de manera similar a Find my iPhone de iOS.

Por último, se ha eliminado la compatibilidad con SSLv3 y no se renegocia la versión de protocolo TLS con servidores que tengan una mala implementación de la renegociación.


Francisco López
flopez@hispasec.com



Más información:
Android Oreo
https://www.android.com/versions/oreo-8-0/

Android 8.0 Oreo Released – 11 New Features That Make Android Even Better
http://thehackernews.com/2017/08/android-8-oreo.html