“Si no es un sistema operativo oficial, debemos asumir que es malo”.
Así lo explica Shawn Wilden, el responsable tecnológico de seguridad respaldada por hardware en Android. descrito La realidad actual de los sistemas operativos personalizados basados en Android en respuesta a un verdadero problema de seguridad. Sistema operativo GrapheneOS usuarios Descubierto recientemente eso Auténticoun popular (y generalmente bien considerado) El administrador de autenticación de dos factores no funcionará en sus teléfonos, teléfonos que ejecutan un sistema operativo diseñado para ser más seguro y reforzado que cualquier teléfono Android estándar.
“No queremos castigar a los usuarios de sistemas operativos alternativos, pero realmente no hay otra opción en este momento”, añadió Wilden antes de su contundente conclusión. “Play Integrity no tiene forma alguna de adivinar si un determinado sistema operativo personalizado subvierte por completo el modelo de seguridad de Android”.
Jugar con integridadanteriormente Certificación SafetyNetbásicamente permite que las aplicaciones verifiquen si un dispositivo Android ha otorgado permisos más allá de los modelos previstos por Google o si ha sido rooteado. El acceso root no es atractivo para los creadores de algunas aplicaciones relacionadas con la banca, los pagos, los juegos competitivos y los medios con derechos de autor).
Existen muchas razones, más allá de las trampas y las artimañas, por las que alguien podría rootear o modificar su dispositivo Android. Pero para demostrar que es seguro, un dispositivo Android debe comunicarse con los servidores de Google a través de una API en Google Play Services y luego verificar su cargador de arranque, firma de ROM y kernel. GrapheneOS, como la mayoría de las ROM personalizadas de Android, no contiene un paquete de Google Play Services de forma predeterminada, pero permitirá a los usuarios instalar una versión en espacio aislado de Play Services si lo desean.
Wilden ofreció cierta esperanza para un futuro en el que las ROM podrían garantizar su naturaleza no criminal a Google. tomando nota “Algunas discusiones con los fabricantes de ROM de alta calidad” sobre la aprobación de la Conjunto de pruebas de compatibilidady luego “establecer algún tipo de relación que podamos usar para confiar en ellos”. Pero es “mucho trabajo de ambas partes, incluso de los abogados”, señala Wilden. Y aunque su equipo está dispuesto a ayudar, el soporte de alto nivel es difícil porque “los modders son una fracción muy, muy pequeña de la base de usuarios”.
La cuenta oficial de GrapheneOS X fue Menos esperanzadorSeñaló que otra ROM personalizada, LineageOS, deshabilitaba el arranque verificado en la instalación y “revierte la seguridad de muchas otras maneras”, lo que contribuye a “una idea errónea de que cada SO alternativo revierte la seguridad y no es de calidad de producción”. Una instalación típica de LineageOS, como la mayoría de las ROM personalizadas, deshabilita el arranque verificado, aunque se puede volver a habilitar, excepto Es arriesgado y complicadoGrapheneOS tiene una página en su sitio respecto a su postura y críticas sobre el modelo de certificación de Google para Android.
Ars se ha puesto en contacto con Google, GrapheneOS y Authy (a través de su propietario, Twilio) para solicitar comentarios. Por el momento, no parece que haya un camino claro para ninguna de las partes a menos que una de ellas esté dispuesta a modificar en gran medida lo que consideran una seguridad adecuada.
