Contenido
La seguridad y la privacidad son más importantes que nunca, y Google lo sabe. La compañía giró a lo grande con respecto a ambos en su conferencia de desarrolladores de Google I / O esta semana en Mountain View. El renovado enfoque de Google en la seguridad y la privacidad se destaca en Android Q, donde la compañía incorporó una gama de capas protectoras.
Los conceptos básicos incluyen encriptación más ampliamente disponible, nuevos comportamientos de autenticación y código fortalecido.
Adiantum, no adamantium
Los huesos de Wolverine están injertados con un súper metal ficticio que Marvel llama adamantium. Del mismo modo, Google está protegiendo el núcleo de Android en teléfonos de gama baja con un perfil de cifrado del mundo real llamado adiantum.
La mayoría de los teléfonos de gama media y alta de hoy están obligados a ejecutar el cifrado AES. AES requiere aceleración de hardware, por lo que solo funciona correctamente en dispositivos bien especificados. AES no puede ejecutarse en la mayoría de los teléfonos con un precio inferior a $ 100, sin mencionar los dispositivos Wear OS o Android TV, y eso es un problema en lo que respecta a Google. Entra adiantum.
Google requerirá cifrado para todos los dispositivos que comiencen con Android Q.
Adiantum se basa en un núcleo Linux de código abierto. Google ha trabajado con los equipos Android Go y Android One para adoptar adiantum en Android Q. Los equipos Android Go y Android One, a su vez, se han coordinado con proveedores de silicio como Qualcomm y MediaTek para que esto sea una realidad. Adiantum es una alternativa basada en software para AES acelerado por hardware. Incluso los dispositivos menos potentes pueden manejarlo, lo que significa que todo, desde dispositivos portátiles hasta dispositivos médicos, puede disfrutar de la seguridad ofrecida a través del cifrado.
Google requerirá cifrado para todos los dispositivos que comiencen con Q, y adiantum es cómo los dispositivos de gama baja lo implementarán. Los dispositivos de gama media y alta que pueden ejecutar AES continuarán ejecutando AES.
Adiantum está en estado alfa en este momento, pero estará listo para cuando Android Q finalice a finales de este año.
La otra mitad
Encriptar dispositivos es una parte de la historia, encriptar el enlace del dispositivo a la red es la segunda parte.
Android Q adopta TLS 1.3, una revisión del estándar IETF que se completó el año pasado. TLS 1.3 cifra y asegura el tráfico desde su teléfono a cualquier servicio basado en Internet al que se está conectando. En otras palabras, esa compra que desea realizar mientras navega por Wi-Fi en Starbucks ahora está protegida por la fuerza.
Google dice que TLS 1.3 es más limpio y más estable que TLS 1.2, y proporciona un fuerte apretón de manos entre las entidades necesarias para la seguridad. La velocidad es un beneficio adicional. TLS 1.3 puede reducir los tiempos de conexión en aproximadamente un 40%. TLS 1.3 se habilitará por defecto en Android Q.
Abunda la biometría
La biometría desempeñará un papel más destacado en la seguridad a medida que interactúa con su dispositivo Android Q-based. Android Q actualiza la API BiometricPrompt para ayudar a los desarrolladores a aprovechar la biometría con fines de autenticación. En el futuro, los desarrolladores podrán aplicar acciones explícitas o implícitas.
Con acciones explícitas, los usuarios deben realizar una acción directa para la autenticación tocando el sensor de huellas digitales o escaneando su cara. Este tipo de autenticación sería necesaria para realizar pagos o transferencias de dinero.
Con acciones implícitas, los usuarios no tendrán que adoptar un enfoque tan directo. Las aplicaciones pueden escanear automáticamente la cara del usuario al abrir, por ejemplo, lo que le permite saltar directamente a la aplicación en cuestión. Google prevé acciones implícitas que autentican los inicios de sesión de aplicaciones o los comportamientos de llenado de formularios.
Los usuarios deben realizar una acción directa para la autenticación.
Los desarrolladores podrán permitir a los usuarios predeterminar copias de seguridad de PIN, patrón o contraseña para acciones explícitas o implícitas si lo desean, ya que a veces no siempre es posible que un teléfono escanee una cara debido a la iluminación. Dependerá de las aplicaciones individuales adoptar este tipo de comportamiento.
Código más limpio
Google no está asignando toda la responsabilidad de la seguridad y la privacidad a los desarrolladores y usuarios finales. Trabajó para fortalecer su propio código en varias partes del sistema operativo para proteger mejor a todos. Google dice que se centró en las debilidades clave, como los medios de comunicación, Bluetooth y, créalo o no, el núcleo del núcleo.
Utilizó procesos sofisticados como "aislamiento de procesos", "reducción de superficie adjunta" y "descomposición arquitectónica" para encontrar vulnerabilidades y explotarlas. Una vez que se encontraron los agujeros, Google los reparó.
Gran parte de este trabajo se centra en automatizar todo. Google quiere que los usuarios finales sepan que sus teléfonos y otros dispositivos son seguros de forma predeterminada. Este es un importante paso adelante. En combinación con las nuevas herramientas de privacidad y seguridad disponibles para los desarrolladores, Android Q agrega una fina capa de armadura (por desgracia, no vibranium) sobre la plataforma.
