Mobile Menace Monday: Dark Android Q sube

Mobile Menace Monday: Dark Android Q sube

Mobile Menace Monday: Dark Android Q sube

Publicado: 29 de julio de 2019 por 

Android Q, la próxima décima versión principal del sistema operativo móvil Android, fue desarrollada por Google con tres temas principales en mente: innovación, seguridad y privacidad. Hoy, nos vamos a centrar principalmente en la seguridad y la privacidad, aunque todavía hay muchos cambios y actualizaciones potenciales en el horizonte que pueden discutirse.

Intimidad

La privacidad ha sido una prioridad en el desarrollo de Android Q, ya que hoy es importante dar a los usuarios control y transparencia sobre cómo su información es recopilada y utilizada por las aplicaciones y nuestros teléfonos. Se han realizado cambios significativos en Android Q en toda la plataforma para mejorar la privacidad, y vamos a inspeccionarlos uno por uno.

Nota: Los desarrolladores deberán revisar las nuevas funciones de privacidad y probar sus aplicaciones. Los impactos pueden variar según la funcionalidad principal, la orientación y otros factores de cada aplicación. 

Foto 1

Ubicación del dispositivo

Comencemos con la ubicación. Las aplicaciones aún pueden pedirle al usuario permiso para acceder a la ubicación, pero ahora en Android Q, el usuario ve una pantalla más grande con más opciones sobre cuándo permitir el acceso a la ubicación, como se muestra en la Imagen 1. Los usuarios podrán dar acceso a las aplicaciones a datos de ubicación todo el tiempo o solo cuando la aplicación está enfocada (en uso y en primer plano).

Este control adicional fue posible gracias a que Android Q introdujo un nuevo permiso de ubicación  ACCESS_BACKGROUND_LOCATION , que permite que una aplicación acceda a la ubicación en segundo plano.

Hay disponible una guía detallada sobre cómo adaptar su aplicación para los nuevos controles de ubicación. 

Almacenamiento con alcance

Fuera de la ubicación, se introdujo una nueva característica llamada «almacenamiento con ámbito» para brindar a los usuarios más seguridad y reducir el desorden de aplicaciones. Android Q seguirá utilizando los permisos READ_EXTERNAL_STORAGE  y  WRITE_EXTERNAL_STORAGE  , pero ahora las aplicaciones que apuntan a Android Q de forma predeterminada tienen una  vista filtrada  en el almacenamiento externo.

Dichas aplicaciones solo pueden ver su directorio específico y tipos específicos de medios, por lo que no necesitan permiso para leer o escribir ningún archivo en esta carpeta. También permite que un desarrollador tenga su propio espacio en el almacenamiento de su dispositivo que es privado sin solicitar ningún permiso específico.

Nota: Hay una  guía que describe cómo se incluyen los archivos en la vista filtrada, y cómo actualizar su aplicación para que pueda continuar compartiendo, accediendo y modificando archivos guardados en un dispositivo de almacenamiento externo.

Desde el punto de vista de la seguridad, esta es una actualización beneficiosa. Detiene las aplicaciones maliciosas que dependen de que usted otorgue acceso a datos confidenciales porque no leyó lo que vio en el cuadro de diálogo y simplemente hizo clic en «sí».

Restricciones de fondo

Otro cambio importante es que los desarrolladores han creado restricciones en el lanzamiento de actividades desde el fondo sin interacción del usuario. Este comportamiento ayuda a reducir las interrupciones y mantiene al usuario más en control de lo que se muestra en su pantalla.

Este nuevo cambio tiene efecto en todas las aplicaciones que se ejecutan en Android Q. Incluso si su aplicación tiene un nivel de API 28 o inferior y se instaló originalmente en un dispositivo con Android 9, las restricciones funcionarán después de que el dispositivo se actualice a Android Q.

Nota: Las aplicaciones que se ejecutan en Android Q pueden iniciar actividades solo cuando se cumplen una o más de las siguientes  condiciones .

Datos e identificadores

Para evitar el seguimiento, comenzando en Android Q, Google requerirá que los desarrolladores de aplicaciones soliciten un permiso especial con privilegios (READ_PRIVILEGED_PHONE_STATE) antes de que puedan acceder a los identificadores no reiniciables del dispositivo, tanto IMEI como el número de serie.

Nota: Lea las  mejores prácticas para elegir los identificadores correctos para su caso específico, ya que muchos no necesitan identificadores de dispositivo no reiniciables (por ejemplo, para fines analíticos).

Además, los dispositivos Android Q ahora transmitirán una dirección MAC aleatoria de forma predeterminada. Aunque Google introdujo la asignación aleatoria de direcciones MAC  en Android 6.0 , los dispositivos solo podían transmitir una dirección MAC aleatoria si el teléfono inteligente iniciaba un escaneo de Wi-Fi o Bluetooth en segundo plano. Sin embargo, vale la pena mencionar que los investigadores de seguridad demostraron que aún pueden rastrear dispositivos con direcciones MAC aleatorias.

Restricciones de red inalámbrica

Otra característica nueva de Android Q es que las aplicaciones no pueden habilitar o deshabilitar Wi-Fi. El WifiManager.setWifiEnabled()método siempre regresa  false.

A partir de ahora, con Android Q, los usuarios deben activar o desactivar Wi-Fi a través del Panel de configuración, una API que permite a las aplicaciones mostrar la configuración a los usuarios en el contexto de su aplicación.

Además, para proteger la privacidad del usuario, la configuración manual de la lista de redes Wi-Fi ahora está restringida a las aplicaciones del sistema y los controladores de políticas de dispositivos (DPC) . Un DPC determinado puede ser el propietario del dispositivo o el propietario del perfil.

Permisos

Android Q cambió el alcance de los permisos READ_FRAME_BUFFER, CAPTURE_VIDEO_OUTPUT y CAPTURE_SECURE_VIDEO_OUTPUT. Ahora  solo tienen acceso de firma , por lo que evitarán el acceso silencioso al contenido de la pantalla del dispositivo.

Imagen 2

Las aplicaciones que necesitan acceso al contenido de la pantalla del dispositivo utilizarán la API de MediaProjection . Si su aplicación se dirige a Android 5.1 (nivel de API 22) o inferior, los usuarios verán una pantalla de permisos cuando ejecuten su aplicación en Android Q por primera vez, como se muestra en la Imagen 2. Esto les brinda a los usuarios la oportunidad de cancelar / cambiar el acceso a los permisos que el sistema otorgó previamente a la aplicación durante la instalación.

Además, Android Q introduce un nuevo  permiso ACTIVITY_RECOGNITIONpara aplicaciones que necesitan detectar el recuento de pasos del usuario o clasificar la actividad física del usuario. Esto se hace para que los usuarios vean cómo se usan los datos del sensor del dispositivo en la Configuración.

Nota: si su aplicación se basa en datos de otros sensores integrados  en el dispositivo, como el acelerómetro y el giroscopio, no necesita declarar este nuevo permiso en su aplicación.

Seguridad

Android Pie introdujo la API BiometricPrompt para ayudar a las aplicaciones a utilizar la biometría, incluida la cara, la huella digital y el iris. Para mantener a los usuarios seguros, la API se expandió en Android Q para admitir casos de uso adicionales, incluida la autenticación implícita y explícita.

Si hablamos de autenticación explícita, los usuarios deben realizar una acción para continuar. Eso puede ser un toque en el sensor de huellas dactilares o, si se trata de autenticación de cara o iris, entonces el usuario debe hacer clic en un botón adicional para continuar. Todos los pagos de alto valor deben hacerse a través de un flujo explícito, por ejemplo.

El flujo implícito no requiere una acción adicional del usuario. En la mayoría de los casos, el inicio de sesión y el autocompletar se utilizan en estos casos, ya que no es necesario realizar acciones complejas en transacciones simples y sin importancia que pueden revertirse fácilmente.

Otro cambio interesante realizado en Android Q es el soporte para  TLS 1.3. Se afirma que se pueden establecer conexiones seguras hasta un 40 por ciento más rápido con TLS 1.3 en comparación con TLS 1.2. Desde una perspectiva de seguridad, TLS 1.3 es más limpio, menos propenso a errores y más confiable. Y desde una perspectiva de privacidad, TLS 1.3 encripta más del apretón de manos para proteger mejor las identidades de las partes participantes.

Otra nueva característica útil en BiometricPrompt es la capacidad de verificar si un dispositivo admite autenticación biométrica antes de invocar BiometricPrompt. Esto es útil cuando la aplicación quiere mostrar un «habilitar el inicio de sesión biométrico» o un elemento similar en su página de inicio de sesión o en el menú de configuración de la aplicación. 

La última característica que queríamos señalar es Adiantum , un cifrado de almacenamiento que protege sus datos si su teléfono cae en manos de otra persona. Adiantum es una innovación en criptografía diseñada para hacer que el cifrado de almacenamiento sea más eficiente para dispositivos sin aceleración criptográfica para garantizar que todos los  dispositivos se puedan cifrar. 

En Android Q, Adiantum formará parte de la plataforma Android, y Google tiene la intención de actualizar el Documento de definición de compatibilidad de Android  (CDD) para exigir que todos los dispositivos Android nuevos se cifren con uno de los algoritmos de cifrado permitidos.

Beta 5 y más allá

Android Q Beta 1 se lanzó el 13 de marzo y ya tenemos Beta 5 disponible para descargar. Si desea probar la versión Beta, vaya a android.com/beta para verificar si su dispositivo está en la lista de compatibilidad y descargue la versión beta.

La línea de tiempo de la fecha de lanzamiento de Android 10 Q

Todavía hay una versión beta más antes de que la versión final caiga en algún momento antes de que termine el tercer trimestre, según la línea de tiempo. Los desarrolladores deben sumergirse en Android Q y comenzar a aprender sobre las nuevas funciones y API que pueden usar en sus aplicaciones antes de realizar ajustes.

Y quizás la pregunta más importante de todas: ¿cómo se llamará Android Q? La lista de postres que comienza con Q es bastante pequeña, y algunas sugerencias que ya surgieron entre los usuarios de la red son:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.