Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Asegurar Android: cómo Blackberry bloqueará su próximo teléfono Priv

Cuando Blackberry anunció que lanzaría al mercado un dispositivo basado en Android, prometió que podría hacerlo sin comprometer su propia reputación de seguridad. Ayer, la compañía compartió algunos de los cambios que realizó en el sistema operativo Android de Google y cómo esos cambios impactan en el próximo Blackberry Priv.

Lo primero que hay que entender es cuán fundamentalmente inseguro Android realmente lo es. Estudios repetidos han demostrado que la inmensa mayoría de los dispositivos Android en el mercado actual son críticamente inseguros. Un estudio reciente de la Universidad de Cambridge descubrió que el dispositivo Android promedio recibe solo 1.26 actualizaciones de software por año. Esto fue antes de Stagefright, que afecta hasta al 95% de los teléfonos Android.

Así es como Blackberry va a cierre de emergencia el Priv (y presumiblemente dispositivos futuros):

Primero, todo el hardware está firmado y verificado criptográficamente. La CPU tiene una ROM de arranque incorporada que verifica la firma digital de la ROM de arranque, que luego verifica la clave de firma del sistema operativo. El sistema operativo verifica el sistema de archivos y el sistema de archivos verifica los valores hash de todas las aplicaciones cargadas. Dado que los dispositivos Blackberry se basan en procesadores ARM, podemos asumir que la empresa utiliza la tecnología TrustZone de ARM. A continuación se muestra un diagrama del proceso de verificación:

BBSecurity

Blackberry también promete que sus inicios de sesión con imágenes serán más seguros que los métodos tradicionales. Tengo dudas sobre eso, especialmente porque el gobierno podría obligarlo a ofrecer su cabeza por una foto de inicio de sesión (ya pueden obligarlo a renunciar a las huellas digitales). El siguiente punto de Blackberry es que admite una variedad de servicios de comunicación que se basan en ofrecer altos niveles de seguridad, incluido el intercambio de archivos privados de WatchDox, varios servicios de BBM y SecurSuite para llamadas de voz privadas. Blackberry también afirma que ninguno de sus programas tiene puertas traseras y que todos usan esquemas de criptografía que han sido certificados por BlackBerry Certicom. Si esos servicios realmente brindan o no la seguridad que dicen ofrecer, es una cuestión completamente diferente. Afirmar que se ofrece criptografía es fácil, de hecho, certificar que el código está libre de errores es extremadamente difícil. Otras características del sistema operativo incluyen «un kernel de Linux reforzado con numerosos parches y cambios de configuración para mejorar la seguridad», cifrado de disco completo habilitado de forma predeterminada y soporte completo para BES12, la plataforma de seguridad empresarial de Blackberry.

En cuanto a la privacidad del usuario, Blackberry afirma que su versión de Android contiene “ganchos de monitoreo de privacidad en lo más profundo de Android que brindan a los usuarios una poderosa retroalimentación y control sobre cómo las aplicaciones hacen uso de los recursos del dispositivo críticos para la seguridad. Esto incluye la aplicación exclusiva del sistema de advertencia DTEK ™ de BlackBerry, así como otras funciones. La salud de la privacidad se comunica de una manera simple y elegante, lo que genera confianza en lugar de complejidad «.

A continuación se muestran capturas de pantalla de Dtek en acción:

dtek-collage

En la superficie, Dtek parece una simple aplicación de monitoreo de privacidad que brinda al usuario un resumen de un vistazo de la configuración de seguridad y privacidad del dispositivo. No hay nada de malo en eso, sin duda, pero las publicaciones del blog de Blackberry sugieren una funcionalidad adicional y un monitoreo por aplicación. Este tipo de flexibilidad y supervisión podría cambiar las reglas del juego para los que se preocupan por la privacidad: otros dispositivos han intentado proporcionar protecciones de seguridad profundas dentro de Android, pero Blackberry (todavía) tiene bolsillos mucho más profundos que los de Blackphone. Dado que todo el método de Google para ganar dinero con Android se basa en poder monitorear dispositivos y recopilar información del usuario, sin embargo, tendremos que esperar y ver si las protecciones de privacidad discutidas aquí son significativas o aceite de serpiente.

Si hay una razón para ser optimista, es esta: el CEO de Blackberry ya ha admitido que si el Priv no se vende bien, es probable que la compañía salga del negocio de hardware. Las empresas que compran productos específicamente para funciones de seguridad no suelen dar segundas oportunidades, y el fabricante canadiense de teléfonos inteligentes no tiene margen de maniobra. En estas circunstancias, Blackberry será muy consciente de que debe hacerlo bien la primera vez.