“Si no es un sistema operativo oficial, debemos asumir que es malo. »
Así lo afirma Shawn Wilden, responsable técnico de seguridad de hardware en Android, describir la realidad actual de los sistemas operativos personalizados basados en Android como respuesta a un problema de seguridad real. GrafenoOS usuarios Descubierto recientemente eso autíaun popular (y generalmente bien considerado) administrador de autenticación de dos factores, no funcionará en sus teléfonos, teléfonos que ejecutan un sistema operativo que se supone es más seguro y reforzado que cualquier teléfono Android estándar.
«No queremos castigar a los usuarios de sistemas operativos alternativos, pero realmente no hay otra opción en este momento», añadió Wilden antes de concluir tajantemente. “Play Integrity no tiene absolutamente ninguna manera de adivinar si un determinado sistema operativo personalizado subvierte por completo el modelo de seguridad de Android. »
Jugando con integridadPreviamente Certificación SafetyNetBásicamente, permite que las aplicaciones verifiquen si a un dispositivo Android se le han otorgado permisos más allá de las plantillas previstas por Google o si ha sido rooteado. El acceso raíz no es atractivo para los creadores de ciertas aplicaciones relacionadas con banca, pagos, juegos competitivos y medios protegidos por derechos de autor.]
Hay muchas razones más allá de las trampas y la deshonestidad que podrían hacer que alguien rootee o modifique su dispositivo Android. Pero para demostrar su seguridad, un dispositivo Android debe comunicarse con los servidores de Google a través de una API en los Servicios de Google Play y luego verificar su gestor de arranque, firma ROM y kernel. GrapheneOS, como la mayoría de las ROM personalizadas de Android, no viene con un paquete de Servicios de Google Play de forma predeterminada, pero permite a los usuarios instalar una versión sandbox de Servicios de Play si lo desean.
Wilden ofreció alguna esperanza para un futuro en el que las ROM puedan garantizar su naturaleza no criminal a Google, observando «algunas discusiones con fabricantes de ROM de alta calidad» sobre la aprobación de Conjunto de pruebas de compatibilidadluego “establecer algún tipo de relación que podamos utilizar para confiar en ellos”. Pero es “mucho trabajo por parte de ambas partes, incluidos los abogados”, señala Wilden. Y aunque su equipo está feliz de ayudar, el soporte de alto nivel es difícil porque «los modders constituyen una fracción muy pequeña de la base de usuarios».
La cuenta oficial de GrapheneOS X fue menos esperanza. Señaló que otra ROM personalizada, LineageOS, deshabilita el arranque verificado durante la instalación y «anula la seguridad de muchas otras maneras», lo que contribuye a «una idea errónea de que cada sistema operativo alternativo anula la seguridad y no tiene calidad de producción». Una instalación típica de LineageOS, como la mayoría de las ROM personalizadas, deshabilita el arranque verificado, aunque se puede volver a habilitar a menos que es arriesgado y complicado. GrapheneOS tiene una página en su sitio respecto a su postura y críticas al modelo de certificación de Google para Android.
Ars se ha puesto en contacto con Google, GrapheneOS y Authy (a través del propietario Twilio) para solicitar comentarios. Por el momento, no parece haber un camino claro a seguir para ninguna de las partes, a menos que una de ellas esté dispuesta a reelaborar fundamentalmente lo que consideran seguridad apropiada.
