La introducción de parches de seguridad mensuales para Android fue una medida bienvenida y muy necesaria por parte de Google. En ese momento, Android era conocido por sus problemas de fragmentación, que afectaban negativamente la forma en que se podían reparar las vulnerabilidades de seguridad y luego distribuirlas rápidamente a los dispositivos. Los parches de seguridad mensuales brindaban una forma rápida para que los usuarios interesados ​​juzgaran cuán "seguro" y "actualizado" era realmente su dispositivo.

Lamentablemente, por más bien intencionado que pueda ser este cambio para los usuarios finales, algunos fabricantes de equipos originalesno estaban implementando todos los parches de seguridadpara sus dispositivos. Cada vez que Google implementa un parche de seguridad mensual, los fabricantes de equipos originales deben corregirtodaslas vulnerabilidades descritas en el boletín de seguridad de ese mes si quieren afirmar que su dispositivo es seguro hasta ese nivel de parche mensual. Sin embargo, los investigadores encontraron una brecha significativa entre el nivel de parche de seguridad informado en el teléfono y las vulnerabilidades contra las que estaba realmente protegido el teléfono. Si bien a la mayoría de los consumidores promedio aparentemente no lesimportaríaesto, no se puede negar que esto fue una violación de la confianza por parte de los fabricantes de equipos originales. Problemas como este llevaron a Google amodificar sus acuerdos con los fabricantes de equipos originales para incorporar requisitos de parches de seguridad regulares.

En vista de estas preocupaciones, los desarrolladores de LineageOS han presentado "Trust".

Confianza

Trust es una interfaz centralizada dentro de las ROM de LineageOS (ubicada en Configuración > Seguridad y privacidad) que ahora albergará todas las funciones de seguridad de LineageOS. Aquí, puede obtener una descripción general del estado de las funciones de seguridad principales, como Privacy Guard y más, así como obtener explicaciones sobre cómo hacer que su dispositivo sea seguro y sus datos privados. Además, como parte de las mejoras en la experiencia del usuario, el ícono Trust se hará visible en la barra de estado para informar a los usuarios que la acción que se está realizando es segura y no está causada por diálogos de permisos falsos, intentos de phishing y otras molestias similares.

La confianza se vincula con los cambios mencionados anteriormente de Google, ya quesepara el nivel de parche de seguridad del proveedor y el nivel de parche del marco. LineageOS puede aplicar parches al marco de Android gracias a AOSP, y pueden aplicar parches al kernel gracias a la fuente del kernel de Linux. Pero los desarrolladores generalmente tienen que confiar en los OEM para que los BLOB actualicen las HAL del proveedor, los cargadores de arranque y más. El nuevo nivel de parche de seguridad del "proveedor" ahora informa cuándo se actualizaron los BLOB por última vez. Esto proporciona información mucho más relevante, como se puede ver en el caso de Nextbit Robin, que mostraráun nivel de parche del proveedor de abril de 2017,aunque el nivel de parche del marco de Android puede estar actualizado.

La interfaz Trust también advierte a los usuarios cuando su dispositivo no es seguro, como en los casos en que SELinux está deshabilitado, la función root está habilitada o cuando el dispositivo no está cifrado. Trust también muestra un icono en la barra de estado cuando una aplicación está utilizando activamente el acceso root, de forma similar a Privacy Guard. Trust también contiene configuraciones para controlar ellímite de mensajes SMSpara las aplicaciones.

La interfaz Trust está disponible en las compilaciones deLineageOS 15.1de esta semana . Los desarrolladores prometen ofrecer más funciones como parte de Trust en el futuro.