Bueno pero no lo suficiente. Es el veredicto de un grupo de investigadores que revisaron el modelo de seguridad que Google aplica a Android desde la versión 5.0, Lollipop.
En este documento de Arxiv, Elena Reshetova y sus colaboradores de la Universidad Aalto de Finlandia (con el apoyo de Intel) hicieron un análisis de la era posterior a Lollipop, en la que "todo proceso debe ejecutarse dentro de un dominio SEAndroid confinado a un conjunto adecuado de reglas de control de acceso definidas".
El problema es que mientras la estructura y las políticas que funcionan bien sí se siguieron, los Fabricantes de Equipos Originales (OEM por sus siglas en inglés) tienen un espacio para cometer errores de implementación: "las modificaciones de los OEM pueden hacer políticas menos estrictas, lo que resulta en una superficie de ataque más amplia para vulnerabilidades potenciales", escribieron.
Los errores surgen porque los OEM no pueden actualizar sus productos con la suficiente rapidez para competir y al mismo tiempo asegurarse de que sus implementaciones cumplen con la política de seguridad SEAndroid.
Estos problemas incluyen:
El grupo ha creado una herramienta de código abierto, SEAL, que proporciona análisis de políticas, visualización de políticas y decompilación de políticas.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT