Investigadores universitarios han modificado el sistema operativo Android para permitir a los desarrolladores conectar mejoras de clase empresarial que normalmente requerirían mejorar el firmware de un dispositivo móvil. El código añadido al sistema operativo se llama framework Android Security Modules (ASM), el cual es descrito en un paper de los investigadores de seguridad de la Universidad Estatal de Carolina del Norte y el Technische Universität Darmstadt/CASED de Alemania.
El paper fue presentado el 22 de agosto en el USENIX Security Symposium en San Diego. Android se encuentra diseñado para todo tipo de dispositivos y no ofrece muchas características separadas para consumidores, gobierno y empresas. El framework ASM hace que sea más sencillo añadir el tipo de seguridad que se necesita para usuarios de empresa y gobierno, pero no es necesaria para consumidores.
“El framework Android Security Modules es realmente el componente para añadir nuevas funcionalidades de seguridad a Android”, sostuvo William Enck, autor senior del paper y profesor asistente de la universidad.
Como framework genérico, ASM hace posible conectar mejoras de seguridad sin tener que tocar el firmware del dispositivo. “Si es adoptado por Google, concebimos que ASM puede habilitar mejoras a la seguridad en el campo de los dispositivos Android sin necesidad de acceder al root, lo cual es una limitación significativa de las actuales soluciones BYOD”, señala el paper.
ASM, cuando se integra con el sistema operativo y el kernel de Android, proporciona los ‘ganchos’ de autorización que permiten a los módulos controlar el acceso a las listas de contactos, datos de geolocalización y mensajes de texto. “De la misma forma en que se pueden hacer cosas cuando se tienen los permisos en Android se puede tenerla capacidad de hacer ampliaciones con el módulo de seguridad ASM”, sostuvo Enck. ASM proporciona más que el solo acceso a los datos. También permite a los desarrolladores manipularlos, sostuvo Enck.
Por ejemplo, un desarrollador podría construir un módulo que filtre la lista de contacto, de tal forma que solo las aplicaciones autorizadas pueden acceder a los contactos de negocios.
Un módulo así puede ser útil para las compañías que permiten a los empleados usar sus propios teléfonos inteligentes para tareas relacionadas al trabajo, como acceder a la red corporativa o servidor de correo electrónico.
Marc Rogers, investigador de seguridad principal de Lookout, afirmó que los investigadores tenían “un enfoque interesante, muy prometedor”. “Están construyendo estas mejoras en un framework común que tendrá ‘ganchos’ de bajo nivel para con Android permitiendo que el framework actúe sutil y efectivamente cuando se trate de bloquear una amenaza”, indicó Rogers.
Los investigadores han enviado su paper a Google y a algunos fabricantes de dispositivos, pero no han recibido ningún compromiso de uso de la tecnología. Es fundamental que Google acepte la tecnología para que llegue a Android.
“Sin hacer rooting en el dispositivo, el nivel de acceso que esto necesita solo se encontrará disponible a través de la cooperación directa con Google o un OEM (original equipment manufacturer) de hardware de Android”, afirmó Rogers. El código fuente de ASM se encuentra disponible de forma gratuita para uso no comercial. El uso comercial requiere de una licencia de las universidades.
Francisco Carrasco, CIO America Latina