Ya han pasado dos semanas desde que se descubriera la grave vulnerabilidad de Android en la capa Stagefright. Y las reacciones no se han hecho esperar por parte de los fabricantes. El primero en dar el paso fue Google, que ha prometido actualizaciones de seguridad mensuales (de hecho para los Nexus ya está resuelto el problema). Luego vino Samsung, aunque sin un plazo tan claro. Y algunos otros fabricantes quizá no han sido tan contundentes pero están lanzando actualizaciones bastante rápido, como Motorola.
Algunos piensan que no hay mal que por bien no venga y que Stagefright va a lograr que haya actualizaciones de Android más frecuentes, al menos en cuanto a temas de seguridad. Yo soy más escéptico.
Las actualizaciones de Android siempre han sido lentas
Es un problema recurrente de Android. Las actualizaciones siempre han sido lentas. Incluso los que prometen ser rápidos, como Oneplus, han decepcionado últimamente. Una vez que sale una nueva versión de Android los desarrolladores de los fabricantes tienen que probarla en el terminal, hacer adaptaciones y Google debe validar la actualización. Por último se lanza la OTA.
En muchos casos hay un paso extra y es el operador. El operador de telefonía que ha vendido el terminal en muchos casos controla la OTA y quiere validar que la actualización no rompe nada.
Es cierto que ahora con el bug de Stagefright todo el mundo se está poniendo las pilas y los plazos se están acortando pero es una cosa puntual. Si Android decidiera sacar versiones cada mes muchos fabricantes y operadores no podrían seguir el ritmo. Si las actualizaciones de Android han sido lentas no van a dejar de serlo porque haya habido un fallo grave, quizá en esta ocasión sí, pero no en el futuro.
La fragmentación de dispositivos es brutal
Además hay otro problema. Hace unos días publicamos el estudio de Opensignal en el que se puede ver los terminales que hay en el mercado global. Hay actores dominantes, como Samsung, y todo lo que haga tendrá repercusión. Pero dudo mucho que Samsung sea capaz de seguir una política de actualizaciones de seguridad frecuentes para toda su gama de terminales. No me lo creo.
Y luego existen muchos otros fabricantes que no sabemos lo que van a hacer. Y cada vez más fabricantes y más pequeños, ocupando nichos concretos de necesidades o de mercados locales. Veo muy complicado que todos puedan mantener sus terminales al día de las actualizaciones de seguridad.
Ese es el verdadero problema de la fragmentación de Android. Cuando vemos que Lollipop tarda en crecer mucho es básicamente porque el crecimiento viene de las ventas de terminales nuevos, no de las actualizaciones. Y no creo que un problema de seguridad vaya a cambiar esta situación.
El sistema de actualizaciones no está pensado para que sean frecuentes
Todo esto se puede resumir en que el sistema de actualizaciones de Android no está pensado para que sea usado frecuentemente. Las actualizaciones OTA, incluso cuando se lanzan, tardan bastante en llegar a todos los usuarios. La actualización requiere reiniciar el terminal y estar un rato sin funcionar. No se pensó para esto.
Quizá Google debería replantearse las actualizaciones, la forma de implementarlas. Un sistema de actualizaciones algo más ligero, rápido, invisible para el usuario. Los sistemas Linux normalmente no requieren reinicios en las actualizaciones excepto cuando se actualiza el kernel, en cambio en Android cualquier cambio del sistema lo requiere.
Pero Google no ha dicho nada de esto. Y sí que sería una señal que indicaría que podría haber cambios a corto plazo. Separar las actualizaciones de seguridad, que las lance Google a través de Google Play... está claro que no todo puede hacerse sin reiniciar (el fallo podría estar en el kernel) pero seguro que puede hacerse mejor y es una parte que no se ha tocado desde el inicio de Android.
No creo que haya cambios relevantes, fuera de Nexus y algunos tope de gama
Por tanto para mi el futuro no es muy distinto de lo que hemos visto hasta ahora. Los Nexus tendrán un ciclo de actualización garantizado, más frecuente, mejor... pero ya eran los que más actualizaciones recibían (y más rápidas).
Los fabricantes más potentes se pondrán las pilas, pero cubrirán únicamente su gama más alta y los últimos modelos. Es decir, un porcentaje muy alto de terminales se quedará fuera de este supuesto giro de Android.
En definitiva, el verano pasará y Stagefright se perderá como lágrimas en la lluvia. Espero, eso sí, equivocarme.
En Xataka Android | Así puedes proteger tu Android de la vulnerabilidad del Stagefright
Ver 6 comentarios