DTEK50 de BlackBerry falla levantar la barra de seguridad

0
236

Hace cuatro años, fui uno de la izquierda de propietarios acérrimo algunos BlackBerry, la compañía comenzó a desbaratar.

Hoy en día, la empresa piensa que Android lo puede conseguir en las pistas. Teléfono inteligente Android de su debut fue un fracaso, pero espera que puede redimirse con su reinvención DTEK50 BlackBerry, que cuentas como “smartphone Android más segura del mundo” hoy en día.

Esta afirmación en gran parte sin comprobar y fue suficiente para llamar nuestra atención, ya que muchos todavía no creen que “Android” y “seguridad” en la misma oración pueden ser algo más que una contradicción.

Después de dos semanas de escrutinio los reclamos, aquí es lo que hemos aprendido.

DTEK50 de blackBerry es un smartphone pasable que era normalmente capaz de igualar las características de seguridad de otros dispositivos del mismo modo seguros, como el iPhone de Apple y el Nexus de Google. Pero el DTEK50 no fue capaz de superar o levantar la barra de seguridad de cualquier manera significativa. En parte debido a eso, cuestionamos la reclamación de la empresa que es “el mundo más seguro Android smartphone.”

Parches de seguridad rápido es bueno – cuando trabaja

Alguien consulta en seguridad, y mantener un horario regular de parcheo es en gran medida la forma más efectiva de mezcla más conocida problemas de seguridad. Es por eso, a raíz de la vulnerabilidad “Stagefright” el año pasado, Google comenzó a ofrecer parches de seguridad mensual.

Dispositivos de Nexus marca propia de Google se dará los parches primero y otras compañías en los próximos días y semanas–sin embargo, algunos no tener un horario a todos.

BlackBerry prometió que asimismo proporcionará parches del mismo día para cuestiones de seguridad (que fue descrito como “día cero” parches para algunos, un eco confuso de un descriptor de malware comunes), una vez que son lanzadas por Google o sus asociados.

Mora dijo que si pueden solucionar problemas que se presentan por separado fuera de ese horario,.

No hay verdadera manera para comprobarlo, pero pulsamos suerte–a falta de un término mejor, cuando encontramos que el DTEK50 ya era vulnerable, recto de la línea de fabricación, a uno de los cuatro nuevos fallos de seguridad, bautizado como “Quadrooter”–a pesar de estar al día con horario parche mensual de Google.

Tres de las fallas ya fueron fijados y fueron rodados hacia fuera como parte del lote mensual de julio de parches de seguridad. Qualcomm, que fue acusado de hacer un fix para el cuarto, ha lanzado un parche de emergencia, pero ampliamente no saldrá hasta septiembre.

En el momento de escribir esta reseña, BlackBerry no parcheado el defecto Quadrooter, y un portavoz de BlackBerry no responde correos electrónicos repetidos solicitando a comentar. (Actualización: después de este análisis de la seguridad fue publicada, BlackBerry confirmó que libera un parche para desbloquear, pero los ligados a un portador no recibirán el parche hasta que portadores de dan su aprobación.)

Entregando parches más rápidamente y sobre una base regular, horario de revisión de Android es sin duda mejor que Apple, que es errático y generalmente solamente al liado con otras mejoras de software.

Pero gestión buen parche sólo funciona cuando se pone en práctica.

Hardware de raíz de confianza y seguro Inicio: Bienvenido, pero no nuevos

Usted no podría saber sobre raíz de hardware del teléfono de confianza o el proceso de arranque seguro, pero es una parte vital de asegurar que el teléfono mantiene su integridad de seguridad.

Cada proceso del procedimiento de encendido del teléfono es criptográficamente firmado. En otras palabras, si un hacker ha alterado algo en el proceso de arranque, no le coinciden los códigos y el proceso se detiene muerto. Por ejemplo, si de encuentra malware, el teléfono simplemente no arranca, lo que impide que sus datos ser descifrado. Piense en ello como interruptor del hombre muerto (y BlackBerry esto documenta en detalle en un post de blog de buceo profundo).

DTEK50 de BlackBerry falla levantar la barra de seguridad
(Imagen: Tecnologia12/CBS interactivo)

Es por eso Apple ha incluido estas características en su iPhone durante muchos años, como hacer Samsung modernos teléfonos que viene equipado con su tecnología de Knox.

Android viene con esta característica al horno, pero se a convertido en una característica estrictamente forzada cuando Android turrón, la última iteración del sistema operativo, se rueda hacia fuera.

Cuando el DTEK50 llega el nuevo software en los meses después de su lanzamiento, dijeron ejecutivos, harán verificación de proceso de arranque del teléfono mucho más fuerte. Mientras tanto, es un buen comienzo, pero no empujar la aguja de seguridad hacia adelante.

Cifrado como estándar, pero hay preguntas sobre Android “endurecimiento”

Cifrado se ha convertido en un tema polémico en el último año. Apple consiguió fuera de la puerta en primer lugar, en gran parte porque la compañía controla el paquete de hardware y software. Android tropezó debido a funcionamiento y fragmentación problemas.

Como todos los dispositivos Android malvavisco y moderno iPhone y más tarde, el DTEK50 viene con cifrado de disco completo–una característica smartphone cada vez más común.

BlackBerry también promociona su Android “endurecimiento” de esfuerzo, que discute hace más difícil para los atacantes extraer datos o tomar el control de un dispositivo. Una de las características incluye generación “mejor número aleatorio”, que escribimos sobre más detalladamente aquí.

La versión corta es que, según criptógrafos quién nos hablaban sobre esto, los esfuerzos de endurecimiento de BlackBerry “no cambia significativamente la seguridad del teléfono,” porque la empresa está tratando de arreglar algo que no está roto. Y porque BlackBerry utiliza un método en gran parte secreto y patentado para mejorar la criptografía–que no puede ser inspeccionada o verificada por expertos en seguridad, que el teléfono puede estar seguro, pero hasta que sepamos cómo y por qué, no se puede (and no) plenamente confiamos en el teléfono.

Aplicación de DTEK pacificar e informar, pero no bloquear

Mi mayor queja con aplicación de buque insignia del teléfono, que se estrenó en primer lugar con el Priv, era que no hizo nada, y todavía no.

En caso de que te lo perdiste, el teléfono se nombra después de su aplicación insignia, DTEK, un juego de “detectar”. La aplicación se encuentra en la pantalla principal, actuando como un panel de salud de puerta de enlace para su teléfono. Te dice cómo seguro su dispositivo es, tal como si un fuerte código de acceso ha sido conjunto e incluso aplicaciones usan funciones del teléfono. Si una aplicación que activa la cámara o el micrófono, lo voy a contar, pero que no obstruya.

DTEK50 de BlackBerry falla levantar la barra de seguridad
(Imagen: Tecnologia12/CBS interactivo)

Mora dijo que la aplicación no ha cambiado desde que primero fue desplegado en el Priv, a pesar de una promesa de David Kleidermacher, oficial jefe de seguridad, que la aplicación mejoraría “constantemente”, dijo.

Tuvimos algunas palabras duras para la app la primera vez–de que todavía está parado hoy.

“DTEK no es más que una aplicación de información en que te dice cuándo las cosas están sucediendo, a diferencia de una aplicación de privacidad que mitiga activamente contra incursiones de extracción de datos […] No impide que sus datos están registrados hasta por las diversas aplicaciones que utilizas, ni te da la opción de hacer mucho al respecto, salvo desinstalar las aplicaciones”.

Ahora el Priv y el DTEK50 están ejecutando Android melcocha, y ambos teléfonos llegan con permisos de la aplicación iPhone-estilo por defecto, para que tengas mayor control granular sobre sus aplicaciones y lo que puede acceder.

Escribir una victoria para Android, sobre cualquier mejora que vale la pena por parte de BlackBerry–aunque sin embargo pone el DTEK50 a la par con otros dispositivos que corren Android malvavisco, así como el iPhone.

Línea inferior: seguridad, tomar dos, pero no lecciones aprendidas

Android ya tiene una mala reputación cuando se trata de seguridad y privacidad. Nada a aumentar la impresión que podría ser una bendición para el negocio, si bien hecho.

Pero BlackBerry no ha aprendido ninguna lección de su primera encarnación de Android y por su propia admisión no ha mejorado la seguridad de manera consecuente.

Caso: Alex Thurber, jefe ventas del dispositivo global de la empresa, nos dijo en una reunión que el Priv y la DTEK50 son “los dos smartphones más seguros”, ya que el Priv es “como un seguro” como el DTEK50.

La realidad es que cuando usted corta a través de la pelusa de marketing, estamos ante un teléfono unremarkable, que, como cualquier otro producto o servicio, tiene un agujero en la fachada de seguridad a la cosa entera.

Concedido, la empresa no sabía sobre Quadrooter antes de tiempo. Su aplicación llamada privacidad no bloquear o atenuar y sólo pasivo informa. Podemos acoger con beneplácito sus mejoras de hardware, pero no es suficiente para empujar más allá de esa barra ya alta seguridad para alcanzar el estado como “la mayor parte del mundo asegure smartphone Android.”

Comercialización y venta de este teléfono como más seguro que otros teléfonos que son iguales o mejores en la seguridad espacio va a dar a la gente falsas esperanzas y eso es peligroso para aquellos que piensan que este teléfono será derrotar a los piratas y atacantes en cada obstáculo.

Investigadores de seguridad le dirá que los smartphones más seguros será menos útil a la mayoría de las personas. Pero en ausencia de la perfección, muchos elegirán un iPhone sobre cualquier otra cosa. Probado y comprobado, el iPhone era capaz de soportar demandas de gobierno de datos del cliente y, aunque no perfecta, manzana había cerrada en duopolio de hardware y software hace que sea mucho más difícil de romper que la mayoría de los dispositivos.

¿Cuál es el teléfono Android más seguro disponible ahora? Su mejor apuesta es un smartphone de nexo, que investigadores creen que son los menos vulnerables a fallos y problemas debido a la rápida vulnerabilidad parches.

Actualización a las 2:25 pm ET: para añadir que después de este análisis de seguridad salió en vivo, BlackBerry ha parcheado el defecto restante de Quadrooter, un poco más de una semana después de fue revelado por primera vez.

LEAVE A REPLY