Android se basa en el núcleo de Linux, pero cuanto más se aleja del núcleo del sistema operativo original, más trabajo le cuesta a Google mantener su código base y proteger los dispositivos de las amenazas. El propio kernel de Linux tiene varias características de seguridad, pero como es de código abierto, puede alterarse para crear una distribución alternativa. Cualquier fabricante de dispositivos Linux o Android embebidos (OEM) que ofrezca sistemas embebidos basados en Android o en el núcleo del kernel Linux debe endurecer su sistema para salvaguardar los dispositivos móviles y de IoT.
Riesgos de seguridad con Linux integrado
El mayor riesgo para la seguridad de los usuarios es un kernel sin parches después de que se haga pública una vulnerabilidad. Lo más difícil es que no todos los parches de seguridad de Linux reciben un CVE, por lo que depende de los administradores y desarrolladores saber cuándo hay un nuevo parche disponible. Los sistemas de gestión de parches de terceros escanean los sistemas en busca de vulnerabilidades e instalan los parches de seguridad automáticamente, pero los sistemas Linux y Android integrados ejecutan dispositivos móviles e IoT que no están a disposición de los escáneres de vulnerabilidades. Esto significa que los sistemas Linux integrados son un objetivo importante para los atacantes.
Un ejemplo de la gravedad de los sistemas integrados vulnerables es CVE-2019-17666. La vulnerabilidad afecta a cualquier sistema que utilice el chip y el controlador de dispositivo Wi-Fi de Realtek. Aunque se ha publicado un parche, se estima que numerosas Smart TV, cerraduras de puertas y miles de puntos de acceso Wi-Fi personales quedan sin parchear y son vulnerables a un desbordamiento de búfer que podría provocar una denegación de servicio o un posible acceso shell. Con el acceso shell, un atacante podría instalar su propio malware (por ejemplo, código botnet), cambiar la configuración y, potencialmente, espiar los datos de los usuarios, lo que daría lugar a una grave violación de datos.
Protección de Android y otros dispositivos Linux integrados
Modificar Linux para adaptarlo a una distribución de un proveedor externo no sólo requiere los desarrolladores adecuados, sino también los expertos en seguridad adecuados que comprendan el potencial de vulnerabilidades en caso de que se realice el cambio equivocado en el sistema operativo. Google anunció que trasladará Android a una versión más cercana al núcleo original de Linux para reducir la sobrecarga de los desarrolladores y limitar el acceso directo al núcleo por parte de los controladores de dispositivos personalizados realizados por desarrolladores de dispositivos de terceros.
Para mejorar la seguridad de Linux embebido, es esencial que los fabricantes recurran a proveedores que sepan cómo ofrecer sistemas operativos Linux optimizados compatibles con placas personalizadas y hardware propietario. En L4B Software, tenemos experiencia desde 2004 desarrollando soluciones Linux embebidas seguras para dispositivos móviles e IoT. Consideramos la seguridad de Linux embebido una prioridad en nuestro ciclo de vida de desarrollo para garantizar que nuestros clientes tengan un sistema que no sólo optimice el rendimiento, sino que también se mantenga seguro. Hacemos esto de varias maneras:
- API personalizadas: Proporcionamos una interfaz con API para que los clientes puedan ejecutar un conjunto predefinido de comandos.
- Capa de abstracción de hardware (HAL): de forma similar a la forma en que Android gestiona la interfaz de los dispositivos con el núcleo, nuestra HAL permite a los controladores interactuar con la capa superior de Linux sin interactuar directamente con el núcleo.
- SDK y wrappers: La documentación y los wrappers ofrecen a tus desarrolladores una forma segura y sencilla de trabajar con el sistema.