Cómo Google va a conseguir que nuestros Xiaomi sean más seguros mediante su nueva política de 'Seguridad a través de la oscuridad'

Si algo hay todos los días son ataques a Android en todas sus versiones, procurando buscar puntos débiles, bugs, exploits y demás en el sistema operativo de Google. Y ello puede crear vulnerabilidades graves que hay que corregir para tener millones de smartphones seguros.

Pero ha sucedido una cosa, y es que el gran público sabrá de esas vulnerabilidades tres meses después de que hayan sido solventadas. Un pacto de silencio al que Xiaomi y el resto de OEMs deben sumarse sí o sí.

Las OEM y la nueva exclusividad de las vulnerabilidades en Android

Cuando surge una vulnerabilidad en Android, Google la localiza, analiza y repara. Y ese 'fix', ese arreglo, es puesto a disposición de todo el mundo, con los detalles de esa vulnerabilidad que han sido arreglados y su código fuente. A esto tienen acceso también las OEMs o Fabricantes de Equipos Originales como por ejemplo Xiaomi, que lanza una nueva versión de HyperOS conteniendo el 'fix' de Google, ya que Android sigue siendo parte de su SO.

Pero eso va a cambiar, ya que en nombre de la seguridad digital, Google compartirá primero los parches de seguridad de Android exclusivamente con las OEM a través de canales cerrados. Estas deberán firmar un NDA (acuerdo de confidencialidad que les prohíbe revelar el código fuente de la vulnerabilidad y los parches durante tres meses después de su recepción.

Durante este período de embargo, los OEM solo pueden distribuir versiones binarias que incluyan las correcciones. Y aunque el código del parche sigue estando bajo la licencia de código abierto Apache, el NDA restringe temporalmente su redistribución.

"Seguridad a través de la Oscuridad"

¿Por qué este cambio de repente? Google cita el "deseo de aumentar la seguridad" denegando el acceso público masivo al código fuente de las posibles vulnerabilidades, una medida que sigue su plan de 'Seguridad a través de la oscuridad' para distanciarse de revelar inmediatamente de forma pública las vulnerabilidades del sistema Android.

El nuevo plazo es de 90 días, o lo que es lo mismo, tres meses. Por tanto, si surge una vulnerabilidad en Google Maps por ejemplo hoy mismo, en octubre, Google la arreglaría y enviaría el 'fix' a Xiaomi. Y no sería hasta enero, cuando Google publicase todos los detalles y el acceso al código fuente de esa vulnerabilidad, cuando Xiaomi podría hacerlo también.

De esta forma, cualquier vulnerabilidad que surja en Android no será conocida en detalle por el gran público hasta tres meses después, cuando ya esté más que parcheada y solucionada.

Se trata de darle a OEMs como Xiaomi un plazo de tiempo mayor para actualizar y corregir sus dispositivos antes de hacer público el código de esa vulnerabilidad, lo que redunda en un ecosistema más seguro a priori para cada fabricante de dispositivos Android.

Vía | Grapheneos / Xiaomi Time

En Mundo Xiaomi | Hablemos del REDMI K20 / Xiaomi Mi9 T y de su novedosa cámara Pop-up, una genialidad de diseño que hoy está olvidada