Joe Maring / Autoridad de Android
TL;DR
- Google lanzó Binary Transparency como una iniciativa para verificar la integridad del firmware de Pixel.
- El programa ahora se ha ampliado para incluir las aplicaciones de Android de Google y las actualizaciones principales.
- Un registro similar a una cadena de bloques auditable públicamente rastrea los lanzamientos aprobados por Google.
Todos queremos mantener los datos de nuestros teléfonos seguros y protegidos, y una de las mejores cosas que puede hacer para mantenerse seguro es ejecutar únicamente aplicaciones de fuentes confiables. Las firmas digitales son una parte importante de esto, ya que ayudan a garantizar que nuestras solicitudes provengan de la parte que dicen ser. Pero eso no es necesariamente fácil de hacer y, en teoría, un infiltrado malintencionado con acceso a la clave de firma aún podría causar algún daño. Google ha estado pensando en cómo proteger a los usuarios de Android de este tipo de ataques y hoy compartió sus nuevos planes para expandir la Transparencia Binaria.
No quiero perderme lo mejor de Autoridad de Android?
Google introdujo por primera vez la transparencia binaria hace varios años para las imágenes del firmware de Pixel. La idea es básicamente albergar un registro público de las versiones oficiales de firmware de Pixel como una cadena de bloques. Su teléfono ya verifica la firma digital del firmware al arrancar, pero con esta herramienta, también puede verificar que está ejecutando una versión que Google considera oficial, y no una firmada por un desarrollador descontento que agregó una puerta trasera.
Esto no va a desaparecer, pero Google ahora está agregando dos capas más: Transparencia binaria para aplicaciones individuales de Google y para módulos principales de Android. Estos tienden a actualizarse con más frecuencia que las versiones de firmware y es importante que los usuarios puedan confiar en la integridad de su software.
Al igual que antes, existe un registro público similar a una cadena de bloques donde Google publica registros de todas sus aplicaciones oficiales y actualizaciones principales. Una vez que se realizan adiciones al registro, no se puede retirar, lo que garantiza la existencia de un registro de historial de publicaciones certificado y aprobado por Google.
Uno de los diferenciadores clave aquí es que Google solo incluirá versiones aprobadas oficialmente. Esto es importante porque algo como una alfa interna puede estar firmado digitalmente como una aplicación creada por Google, pero puede contener errores explotables. Los actores malintencionados pueden intentar engañar a los usuarios para que instalen aplicaciones vulnerables. Con este nuevo recurso, los usuarios ahora pueden usar Binary Transparency para asegurarse de que lo que se supone que deben ejecutar no sea una publicación autorizada.
El nuevo sistema entrará en vigor a principios de mayo y, en el futuro, registrará cada aplicación de Google Android y módulo principal publicados oficialmente.
Gracias por ser parte de nuestra comunidad. Lea nuestra Política de comentarios antes de publicar.
