Hace unas semanas Google anunciaba que habían puesto en marcha Bouncer, un protector del Android Market que teóricamente evitaría que las aplicaciones maliciosas llegasen a los usuarios. Por suerte, no todos se fían de lo que dice Google, y en el blog español Security By Default han decidido probar si de verdad Bouncer era efectivo.
La prueba era sencilla: enviar una aplicación señuelo (por el nombre, Sexy Girl, ya os podéis imaginar cuál era el señuelo), cuyo único permiso fuera el de acceso a Internet y que contuviese un troyano. Este troyano permitiría controlar remotamente el móvil, acceder a su sistema de archivos y ejecutar comandos de consola.
Sobre el papel, la aplicación no es para nada discreta. Funcionalidad casi nula y un comportamiento muy extraño para algo que sólo debería mostrar imágenes. Bouncer debería ser capaz de evitar que llegase al Market, ¿no?
Sorpresa: entró al Market sin ningún problema. Como podéis ver en el vídeo de demostración, la aplicación se podía instalar al móvil y acceder al troyano que contenía.
Esto no es ninguna tontería. Si Google ofrece Android Market es porque es un repositorio de aplicaciones de confianza. Si no me puedo fiar de lo que hay ahí mal vamos. Es como si tuviese que pasar un antivirus a todo lo que me descargo de los repositorios de Ubuntu: un sinsentido total.
De todas formas, esto no ocurre sólo en el Android Market. Hace unos meses el investigador Charlie Miller coló un malware en la App Store de Apple que sólo fue retirado cuando la noticia saltó a los medios. Y, aunque en este caso no hay estudios, no me extrañaría que al Marketplace de Windows Phone también se le pudiese colar algún malware.
Es cierto que es imposible crear el proceso de aprobación perfecto, siempre se podrá colar algo. El problema con Android Market es que con un malware no muy sofisticado se han podido saltar las protecciones de seguridad, y esto ya no es para nada normal ni aceptable.
Vía | Security By Default
Ver 18 comentarios
18 comentarios
davidrubio
El 98% de las aplicaciones del Market no sirven absolutamente para nada,casi todas son chorradas que gastan tiempo, batería, consumo de datos... y en algunos casos contienen malware. Más vale que empiecen desde cero, dejando primero las oficiales y reconocidas, y el resto las vayan testeando en condiciones.
harverto
Digo yo, que si fuera el que gestiona el Market, diseñaría un proceso como este:
1.- Una nueva aplicación llega al Market.
2.- Se instala en una máquina virtual, que simula ser un móvil con todos los permisos abiertos, conectado a todas las redes.
3.- La máquina tiene un proceso que simula ser un usuario un poco manazas.
4.- La aplicación resulta que tiene ganas de enviar información privada al exterior para darse a conocer al mundo, vamos que es demasiado social.
5.- La máquina tiene un servicio que detecta que una aplicación está acciendo a los datos reservados del móvil y los está haciendo públicos.
6.- ¡BUM! Tenemos programa con premio.
Yo no me considero especialmente inteligente, pero creo que en 15 minutos, debería estar detectado el gusanillo.
Land-of-Mordor
Nos echamos las manos a la cabeza con cualquier fallo de seguridad que se encuentre en las tiendas de aplicaciones móviles, sin embargo, cosas como ésta: http://www.muycomputer.com/2012/02/21/troyano-para-cajeros-que-roba-tu-clave-spsniff-ae pasan desapercibidas.
No sé vosotros, que me lean la agenda me parece menos importante que se lleven mi número de tarjeta y pin porque a la entidad financiera de turno le da por usar Windows+IE6 para la "aplicación" que maneja sus cajeros automáticos.
krlx_roller
No os habéis informado del funcionamiento de Bouncer. Este sistema no impide que se suban aplicaciones si contienen malware. La aplicación subida es revisada una vez esté ya disponible en el Market.
Puede parecer una tontería (y a nivel de seguridad lo es), pero lo que Google no quiere es que los desarrolladores nos tengamos que esperar como ocurre con el AppleStore.
PROS: A los desarrolladores no se nos hace esperar y no se nos prohíbe subir aplicaciones sin que nadie haya hecho ninguna descarga, cosa que es de agradecer ya que no todos desarrollamos malware.
CONTRAS: Los usuarios siguen en riesgo, pero un riesgo más reducido ya que Bouncer revisará esa aplicación y si detecta código malicioso: ¡Adiós muy buenas! Eso quiere decir que no estará "para siempre" en el Market, sino que "tiene los días contados".
Como veis no todo es ni malo ni bueno, simplemente se tiene que ver con ojos críticos.
Casi nunca podemos salir todos beneficiados.
Un saludo.
mcj
Yo lo tengo claro aunque la fuente sea confiable, los permisos que te da la aplicación son determinantes para instalarla. Es decir si me descargo un juego y este tiene acceso a mi agenda, pues lo siento pero no lo instalo.
Un mínimo de sentido común, acaba con muchos problemas de seguridad (no con todos). El problema es cuanto dejas hacer a tus aplicaciones, vamos que permisos le das.
Por cierto, a modo de reflexión si yo fuera un atacante quería que mi troyano fuera extendido mucho para poder hacer "el mal" en condiciones, creo que con 10 instalaciones en un ecosistema móvil cualquiera, se podría decir que esta aplicación ha sido entre residual y muy residual.
Lo único que denota es que se puede meter. Vaya cosa, si la comprobación siempre es a posteriori (y no me digáis que no pasa en todas, porque hasta en la AppStore los tíos de los grilletes, fusilan aplicaciones después de "aprobarlas" o no os acordáis de WathsApp) el volumen de nuevas aplicaciones en las plataformas móviles tiene que ser brutal, entre las copias y las estupideces, revisar y avisar algo desde el minuto uno es muy complicado sino imposible. A veces, la gente olvida la cantidad de aplicaciones y actualizaciones que se hacen a las aplicaciones y revisarlas todas, no debe ser tarea fácil y es evidente que las que antes se revisan son las actualizaciones de las populares. Por el alcance de las mismas.
Si queremos seguridad total, cada una de las aplicaciones debería pasar por unos test que haría inviable para un desarrollador crear un programa y las correspondientes actualizaciones. Y nos quejaríamos, luego total como deporte no esta mal.
P.D: La comparación con los repositorios no es del todo correcta, más que nada por la cantidad de estupideces por bit cuadrado que encuentras en los markets. Vamos que lo han visto como una mina de oro y claro todo el mundo se apunta con ideas buenas, malas y chorras y ponte a revisarlo todo, desde las primeras aplicaciones como aquellas aprobadas que al desarrollador le da por cambiar permisos en la misma (sistema ideal para saltarse la puerta principal y hacer y deshacer una vez dentro)
jcdev90
Ver cat en windows no tiene precio...
vk2r
Co-Co-Combo Breaker !