Alejandro Nieto Gonzalez
ColaboradorYa han pasado dos semanas desde que se descubriera la grave vulnerabilidad de Android en la capa Stagefright. Y las reacciones no se han hecho esperar por parte de los fabricantes. El primero en dar el paso fue Google, que ha prometido actualizaciones de seguridad mensuales (de hecho para los Nexus ya está resuelto el problema). Luego vino Samsung, aunque sin un plazo tan claro. Y algunos otros fabricantes quizá no han sido tan contundentes pero están lanzando actualizaciones bastante rápido, como Motorola.
Algunos piensan que no hay mal que por bien no venga y que Stagefright va a lograr que haya actualizaciones de Android más frecuentes, al menos en cuanto a temas de seguridad. Yo soy más escéptico.
Las actualizaciones de Android siempre han sido lentas
Es un problema recurrente de Android. Las actualizaciones siempre han sido lentas. Incluso los que prometen ser rápidos, como Oneplus, han decepcionado últimamente. Una vez que sale una nueva versión de Android los desarrolladores de los fabricantes tienen que probarla en el terminal, hacer adaptaciones y Google debe validar la actualización. Por último se lanza la OTA.
En muchos casos hay un paso extra y es el operador. El operador de telefonía que ha vendido el terminal en muchos casos controla la OTA y quiere validar que la actualización no rompe nada.
Es cierto que ahora con el bug de Stagefright todo el mundo se está poniendo las pilas y los plazos se están acortando pero es una cosa puntual. Si Android decidiera sacar versiones cada mes muchos fabricantes y operadores no podrían seguir el ritmo. Si las actualizaciones de Android han sido lentas no van a dejar de serlo porque haya habido un fallo grave, quizá en esta ocasión sí, pero no en el futuro.
La fragmentación de dispositivos es brutal
Además hay otro problema. Hace unos días publicamos el estudio de Opensignal en el que se puede ver los terminales que hay en el mercado global. Hay actores dominantes, como Samsung, y todo lo que haga tendrá repercusión. Pero dudo mucho que Samsung sea capaz de seguir una política de actualizaciones de seguridad frecuentes para toda su gama de terminales. No me lo creo.
Y luego existen muchos otros fabricantes que no sabemos lo que van a hacer. Y cada vez más fabricantes y más pequeños, ocupando nichos concretos de necesidades o de mercados locales. Veo muy complicado que todos puedan mantener sus terminales al día de las actualizaciones de seguridad.
Ese es el verdadero problema de la fragmentación de Android. Cuando vemos que Lollipop tarda en crecer mucho es básicamente porque el crecimiento viene de las ventas de terminales nuevos, no de las actualizaciones. Y no creo que un problema de seguridad vaya a cambiar esta situación.
El sistema de actualizaciones no está pensado para que sean frecuentes
Todo esto se puede resumir en que el sistema de actualizaciones de Android no está pensado para que sea usado frecuentemente. Las actualizaciones OTA, incluso cuando se lanzan, tardan bastante en llegar a todos los usuarios. La actualización requiere reiniciar el terminal y estar un rato sin funcionar. No se pensó para esto.
Quizá Google debería replantearse las actualizaciones, la forma de implementarlas. Un sistema de actualizaciones algo más ligero, rápido, invisible para el usuario. Los sistemas Linux normalmente no requieren reinicios en las actualizaciones excepto cuando se actualiza el kernel, en cambio en Android cualquier cambio del sistema lo requiere.
Pero Google no ha dicho nada de esto. Y sí que sería una señal que indicaría que podría haber cambios a corto plazo. Separar las actualizaciones de seguridad, que las lance Google a través de Google Play... está claro que no todo puede hacerse sin reiniciar (el fallo podría estar en el kernel) pero seguro que puede hacerse mejor y es una parte que no se ha tocado desde el inicio de Android.
No creo que haya cambios relevantes, fuera de Nexus y algunos tope de gama
Por tanto para mi el futuro no es muy distinto de lo que hemos visto hasta ahora. Los Nexus tendrán un ciclo de actualización garantizado, más frecuente, mejor... pero ya eran los que más actualizaciones recibían (y más rápidas).
Los fabricantes más potentes se pondrán las pilas, pero cubrirán únicamente su gama más alta y los últimos modelos. Es decir, un porcentaje muy alto de terminales se quedará fuera de este supuesto giro de Android.
En definitiva, el verano pasará y Stagefright se perderá como lágrimas en la lluvia. Espero, eso sí, equivocarme.
En Xataka Android | Así puedes proteger tu Android de la vulnerabilidad del Stagefright
Ver 6 comentarios
6 comentarios
imanol.salinas
Es el precio de tener la mayor parte del mercado bajo tu dominio: no se molestan en actualizar los sistemas Android pues se siguen vendiendo... Culpa de Google por no forzar a actualizar su S.O. Culpa de los fabricantes por sacar 500 modelos refritos que son imposibles de mantener y culpa de las operadoras que tienen la última palabra y pasan del tema.
seitoku
Yo antes me preguntaba porque Windows de PC y Linux podian acarrear las actualizaciones sin tantos problemas. Pero tras este error en una de mis apps de android deje de preguntarmelo:
java.lang.NoClassDefFoundError: android.support.v7.internal.view.menu.MenuBuilder
Para el que se pregunte que significa eso, pues en pocas palabras es un "archivo" de las bibliotecas standard de Android, o sea que todas las versiones deberian tener (al menos de una cierta version), pero ocurre que algunos celulares de Samsung, Enspert, MyPhone, etc les dio por modificarlo o eliminarlo haciendo que uno tenga que crear artificios en el codigo solo para que funcione en esos algunos especificos modelos de celulares.
La cagada no se manifesto obviamente cuando sacaron ese SO modificado (Android 4.2.2) sino cuando llego Lollipop y que para mala suerte para sus usuarios, el framework que permite la retrocompatibilidad en Android pedia ese archivo.
Ahora veo por que se les hace tan dificil actualizar en ocaciones, si modificas archivos que solo Google deberia tocar, obviamente tienes que probar muchas veces para ver si no la has cagado. El SO deberia estar aislado del resto de modificaciones que hicieran los fabricantes.
Lo otro que escuche es que es por una cuestion de drivers, no voy a decir que sea facil arreglarlo, porque no se como funciona ese tema, pero al igual que en windows talvez se deberia crear un patron generico (o sea, si no tienes los drivers especificos de tu tarjeta de video, obviamente no le podras sacar el 100%, pero lo podras seguir usando) y segundo deberia tener una base de datos mundial que permita actualizarlos independientemente. Los celulares podrian tener la lista de componentes y consultar antes de actualizar si los drivers han sido actualizados o si siguen funcionando. Permitir al usuario actualizar y en caso de fallo, por lo menos restaurar la version de fabrica a traves de la computadora.
motoko
A las 9 y pico de la tarde me ha saltado una actualización de seguridad, supongo que será por este problema, eso si, tengo un Nexus 5.