🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
Google ha venido publicando boletines de seguridad mensuales desde agosto de 2015. Estos boletines contienen una lista de vulnerabilidades de seguridad que han sido corregidas y que afectan a la estructura de Android, al núcleo de Linux y a otros componentes de proveedores de código cerrado.
Como explican en XDA Developers, cada mes hay dos niveles de parches de seguridad. El formato de estos parches es YYYY-MM-01 o YYYY-MM-05. Mientras que el YYYY y el MM obviamente representan el año y el mes respectivamente, el «01» y el «05» no significa el día del mes en el que el nivel de parche de seguridad fue liberado.
En cambio, el 01 y el 05 hacen referencia a los dos niveles de parches de seguridad publicados el mismo día de cada mes – el nivel de parche con 01 al final contiene correcciones para el framework de Android pero no parches de proveedores o parches para el núcleo de Linux.
Los parches de proveedores se refieren a correcciones de componentes de código cerrado como los controladores para Wi-Fi y Bluetooth. El nivel de parche de seguridad indicado por -05 contiene, además de las correcciones del framework de Android, los parches de proveedores y del kernel de Linux.
Por supuesto, algunos fabricantes pueden optar por incluir también sus propios parches en las actualizaciones de seguridad. La mayoría de los fabricantes tienen su propia versión de Android, por lo que tiene sentido que puedas tener, por ejemplo, una vulnerabilidad en un teléfono Samsung que no existe en un Huawei. Muchos de estos fabricantes también publican sus propios boletines de seguridad.
Últimos parches de seguridad publicados por Google
La ventaja de ser socio de Android
Los parches de seguridad tienen una línea de tiempo que abarca aproximadamente 30 días. Empresas como Essential se las arreglan para sacar sus actualizaciones de seguridad el mismo día que llegan al Pixel de Google, así que ¿cómo lo hacen? La respuesta es que son un socio de Android.
No todas las empresas pueden ser un socio de Android, aunque básicamente los principales fabricantes de Android lo son. A los socios de Android se les concede una licencia para utilizar la marca Android y se les permite incluir servicios móviles de Google (GMS) siempre y cuando cumplan unos requisitos.
Si eres un socio de Android, lo tendrás mucho más fácil. Los socios de Android son notificados de todos los problemas de la estructura de Android y del núcleo de Linux al menos 30 días antes de que el boletín se haga público. Google proporciona parches para todos los problemas para que los fabricantes de equipos los fusionen y los prueben, aunque los parches para los componentes de los proveedores dependen del proveedor.
Los parches para los problemas de la estructura de Android divulgados en el boletín de seguridad de mayo de 2019, por ejemplo, se proporcionaron a los socios de Android al menos desde el 20 de marzo de 2019.
Si bien es cierto que los socios de Android reciben los parches de seguridad mucho antes de su lanzamiento, muchos tardan meses en lanzar la actualización de seguridad.
Esto generalmente se debe a que el fabricante necesita hacer cambios para acomodar un parche de seguridad, ya que puede entrar en conflicto con el código existente, o que el proceso de certificación del proveedor es lento.
Una información interesante que la mayoría no sabe es que los socios de Android deben proporcionar «al menos cuatro actualizaciones de seguridad» dentro del año del lanzamiento de un dispositivo, y dos años de actualizaciones en total.
En cuanto a los dispositivos recomendados para Android Enterprise (AER), los dispositivos deben obtener las actualizaciones de seguridad en un plazo de 90 días a partir de su lanzamiento durante 3 años. Los dispositivos AER reforzados deben obtener 5 años de actualizaciones de seguridad. Los dispositivos Android One deben obtener actualizaciones de seguridad todos los meses durante 3 años.