Google anunció mejoras en la transparencia binaria para Android como una forma de proteger su ecosistema de ataques a la cadena de suministro.
Los equipos de productos y seguridad de Google dijeron: «Este nuevo libro de contabilidad público garantiza que las aplicaciones de Google en los dispositivos sean exactamente lo que pretendíamos que fueran creadas y distribuidas».
Este esfuerzo se basa en la transparencia binaria de Pixel, que Google presentó en octubre de 2021, para garantizar que los dispositivos Pixel ejecuten únicamente software de sistema operativo (SO) verificado y fortalecer la integridad del software mediante el mantenimiento de registros públicos cifrados que registran metadatos sobre las imágenes oficiales de fábrica.
Una infraestructura de seguridad verificable refleja la transparencia de los certificados. Es un marco abierto que requiere que todos los certificados SSL/TLS emitidos se registren en un registro público, de solo anexo y verificable criptográficamente, lo que ayuda a detectar certificados emitidos incorrectamente o maliciosos.
La medida tiene como objetivo contrarrestar los riesgos que plantean los ataques binarios a la cadena de suministro. Los ataques binarios a la cadena de suministro están encontrando varias formas de contaminar los canales de actualización de software y entregar código malicioso dejando intactas las firmas digitales. El último ejemplo compromete el instalador de Windows del software DAEMON Tools para proporcionar una puerta trasera liviana que actúa como conducto para un implante llamado QUIC RAT.
Además, el instalador se distribuye desde el sitio web oficial de DAEMON Tools y está firmado con un certificado digital propiedad del desarrollador de DAEMON Tools.
«Confiar únicamente en la firma de un binario se está volviendo insuficiente porque la firma por sí sola no puede garantizar que este binario en particular estaba destinado a ser publicado públicamente por su creador», dijo Google. «Una firma digital es un certificado de origen, pero la transparencia binaria es un certificado de intención.»
La compañía dijo que la idea es extender Binary Transparency en Android para brindar seguridad de que el software de Google en los dispositivos de los usuarios es exactamente lo que se pretendía construir y distribuir. Por lo tanto, las aplicaciones de Android de producción de Google lanzadas después del 1 de mayo de 2026 incluirán una entrada criptográfica correspondiente que confirma su autenticidad.
Este esfuerzo actualmente incluye aplicaciones de producción de Google, incluidos los servicios de Google Play y aplicaciones independientes de Google, así como módulos principales que forman parte del sistema operativo y se pueden actualizar dinámicamente fuera del ciclo de lanzamiento normal.
«Esto proporciona una ‘fuente de verdad’ transparente para que cualquiera pueda verificar que el software de Google en su dispositivo Android es la versión del producto aprobada por Google y no ha sido modificado por un atacante», dijo Google. «Si el software no está en el libro mayor, Google no lo lanzó como software de producción. Cualquier intento de introducir una versión ‘única’ será detectado».
Como parte de este esfuerzo, el gigante tecnológico también proporciona herramientas de validación que los usuarios e investigadores pueden utilizar para verificar el estado de transparencia de los tipos de software compatibles.
El desarrollo se produce en medio de una serie de ataques a la cadena de suministro dirigidos a desarrolladores y usuarios intermedios de software popular en los últimos meses. Los atacantes maliciosos comprometen cada vez más las cuentas de los desarrolladores y abusan de ese acceso para enviar malware a varios usuarios a la vez.
«Este es un pilar crítico para la privacidad y seguridad del usuario porque cambia la dinámica fundamental de las actualizaciones de software», dijo Google. «Este nivel de transparencia sirve como otra capa de protección para la integridad del software y sirve como un fuerte elemento disuasorio contra la publicación de archivos binarios no autorizados».
Source link
