La protección del Android Market sigue siendo prácticamente inútil

Facebook Twitter Flipboard E-mail

Hace unas semanas Google anunciaba que habían puesto en marcha Bouncer, un protector del Android Market que teóricamente evitaría que las aplicaciones maliciosas llegasen a los usuarios. Por suerte, no todos se fían de lo que dice Google, y en el blog español Security By Default han decidido probar si de verdad Bouncer era efectivo.

La prueba era sencilla: enviar una aplicación señuelo (por el nombre, Sexy Girl, ya os podéis imaginar cuál era el señuelo), cuyo único permiso fuera el de acceso a Internet y que contuviese un troyano. Este troyano permitiría controlar remotamente el móvil, acceder a su sistema de archivos y ejecutar comandos de consola.


Sobre el papel, la aplicación no es para nada discreta. Funcionalidad casi nula y un comportamiento muy extraño para algo que sólo debería mostrar imágenes. Bouncer debería ser capaz de evitar que llegase al Market, ¿no?

Sorpresa: entró al Market sin ningún problema. Como podéis ver en el vídeo de demostración, la aplicación se podía instalar al móvil y acceder al troyano que contenía.

Esto no es ninguna tontería. Si Google ofrece Android Market es porque es un repositorio de aplicaciones de confianza. Si no me puedo fiar de lo que hay ahí mal vamos. Es como si tuviese que pasar un antivirus a todo lo que me descargo de los repositorios de Ubuntu: un sinsentido total.

De todas formas, esto no ocurre sólo en el Android Market. Hace unos meses el investigador Charlie Miller coló un malware en la App Store de Apple que sólo fue retirado cuando la noticia saltó a los medios. Y, aunque en este caso no hay estudios, no me extrañaría que al Marketplace de Windows Phone también se le pudiese colar algún malware.

Es cierto que es imposible crear el proceso de aprobación perfecto, siempre se podrá colar algo. El problema con Android Market es que con un malware no muy sofisticado se han podido saltar las protecciones de seguridad, y esto ya no es para nada normal ni aceptable.

Vía | Security By Default

Comentarios cerrados
Inicio