Son muchas las empresas que están tratando de atajar cuanto antes los efectos de las vulnerabilidades Meltdown y Spectre, y Google es una de las que podría haberse visto fuertemente afectada en sus servicios web.
Los usuarios de Gmail, Google Drive o sus productos Google Cloud pueden estar tranquilos, porque Google lleva de hecho meses parcheando todos esos servicios. Las actualizaciones silenciosas se unen a una llamativa solución para la vulnerabilidad que más les costó resolver, pero en todos los casos, buenas noticias: según Google, no hay impacto en el rendimiento tras las actualizaciones de sus servicios en la nube.
Gmail y Google Drive llevan meses a salvo
Puede que los problemas se hicieran públicos hace tan solo unos días, pero los responsables del Project Zero de Google fueron de los primeros en analizar el problema hace ya meses. Fue entonces cuando Google se puso manos a la obra para solucionar estos graves problemas cuanto antes.
De las tres variantes del problema (dos para Spectre, una para Meltdown) solo una dio verdaderos problemas a Google. Sus ingenieros de hecho creyeron inicialmente que la única solución era desactivar las características de la CPU que hacía esos chips vulnerables a los ataques. Eso provocaba un impacto importante en sus aplicaciones web, lo que hizo que en Google trataran de encontrar soluciones alternativas.
Fue un ingeniero llamado Paul Tuner el que encontró esa solución. El nombre de la misma es Retpoline, y la idea es la de "modificar los programas para asegurar que la ejecución de los mismos no puede verse influida por un atacante". Esta técnica —que Google ya ha compartido con otras empresas para que todas puedan aprovecharla— permitió a Google proteger sus servicios de esa segunda variante de Spectre sin modificar el código fuente o desactivar características del hardware.
En Google aplicaron todos los parches rápidamente, y en diciembre de 2017 —cuando aún no se había hecho público el problema— todos sus servicios estaban actualizados sin que los usuarios hubiesen notado nada: "nadie lo notó, no recibimos tickets de soprte de nuestros clientes relacionados con estas actualizaciones". El esfuerzo de sus ingenieros no obstante ha sido ingente, y los responsables de Google afirmaban que estas vulnerabilidades han sido "las más difíciles de corregir" en la pasada década.
Estas actualizaciones a sus servicios no suponen el fin de los problemas para Google, que sigue trabajando para actualizar totalmente otros desarrollos software: Android —aquí los fabricantes de dispositivos también tendrán que ponerse las pilas—, Chrome o Chrome OS están recibiendo actualizaciones para mitigar el potencial impacto de estos ataques. Veremos si esas actualizaciones tienen o no impacto en el rendimiento, pero al menos los servicios en la nube de Google están a salvo según sus responsables.
Más información | Google
En Xataka | Intel valora el impacto de los parches a Meltdown y Spectre: como mucho un 10% en la mayoría de los casos