Android se basa en el núcleo Linux, pero cuanto más se aleja del núcleo del sistema operativo original, más recursos necesita Google para mantener su código base y proteger los dispositivos de amenazas. El núcleo Linux en sí mismo tiene varias características de seguridad, pero como es de código abierto, se puede modificar para crear una distribución alternativa. Cualquier fabricante de dispositivos Linux o Android integrados (OEM) que ofrezca sistemas integrados basados en Android o en el núcleo Linux debe reforzar su sistema para proteger los dispositivos móviles y de IoT.
Riesgos de seguridad con Linux integrado
El mayor riesgo para la seguridad de los usuarios es un kernel sin parches después de que se haga pública una vulnerabilidad. Lo más difícil es que no todos los parches de seguridad de Linux obtienen un CVE, por lo que depende de los administradores y desarrolladores saber cuándo hay un nuevo parche disponible. Los sistemas de gestión de parches de terceros analizan los sistemas en busca de vulnerabilidades e instalan parches de seguridad automáticamente, pero los sistemas Linux y Android integrados ejecutan dispositivos móviles y IoT que no están abiertamente disponibles para los escáneres de vulnerabilidades. Esto significa que los sistemas Linux integrados son un objetivo importante para los atacantes.
Un ejemplo de la gravedad de los sistemas integrados vulnerables es CVE-2019-17666. La vulnerabilidad afecta a cualquier sistema que utilice el chip Wi-Fi Realtek y el controlador del dispositivo. Aunque se ha publicado un parche, se estima que numerosos televisores inteligentes, cerraduras de puertas y miles de puntos de acceso Wi-Fi personales siguen sin parchear y son vulnerables a un desbordamiento del búfer que podría provocar una denegación de servicio o un posible acceso al shell. Con el acceso al shell, un atacante podría instalar su propio malware (por ejemplo, código de botnet), cambiar la configuración y, potencialmente, espiar los datos del usuario, lo que daría lugar a una grave violación de datos.
Protección de dispositivos Android y otros dispositivos Linux integrados
Modificar Linux para adaptarlo a la distribución de un proveedor externo no solo requiere contar con los desarrolladores adecuados, sino también con los expertos en seguridad adecuados que comprendan el potencial de vulnerabilidades que podría suponer un cambio incorrecto en el sistema operativo. Google ha anunciado que trasladará Android a una versión más cercana al kernel original de Linux para reducir la sobrecarga de los desarrolladores y limitar el acceso directo al kernel por parte de los controladores de dispositivos personalizados creados por desarrolladores de dispositivos externos.
Para mejorar la seguridad de Linux integrado, es esencial que los fabricantes recurran a proveedores que sepan cómo ofrecer sistemas operativos Linux optimizados que sean compatibles con placas personalizadas y hardware propietario. En L4B Software, contamos con experiencia desde 2004 en el desarrollo de soluciones Linux integradas seguras y protegidas para dispositivos móviles e IoT. Consideramos que la seguridad de Linux integrado es una prioridad en nuestro ciclo de vida de desarrollo para garantizar que nuestros clientes dispongan de un sistema que no solo optimice el rendimiento, sino que también sea seguro. Lo hacemos de varias maneras:
- API personalizadas: proporcionamos una interfaz con API para que los clientes puedan ejecutar un conjunto predefinido de comandos.
- Capa de abstracción de hardware (HAL): De forma similar a como Android gestiona la interfaz del dispositivo con el núcleo, nuestra HAL permite a los controladores interactuar con la capa superior de Linux sin interactuar directamente con el núcleo.
- SDK y envoltorios: la documentación y los envoltorios proporcionan a sus desarrolladores una forma segura y sencilla de trabajar con el sistema.
