Fallas de seguridad en Android y su Market

La semana pasada (martes) salió a la luz pública una información que indicaba que se habían detectado aplicaciones maliciosas en el Android Market. Google ahora (Sábado) ha confirmado que fueron 58 las aplicaciones dañinas que estaban disponibles en el Market, y que fueron descargadas por, al menos, 260.000 dispositivos, antes que Google las eliminara.

Estas 58 aplicaciones, eran versiones pirateadas de juegos y utilidades populares. Una vez descargadas, las aplicaciones obtenían root en el dispositivo utilizando un método conocido como “rageagainstthecage”. Luego usaban un ejecutable de Android (APK) para obtener los datos del usuario y del dispositivo (IMEI/IMSI, códigos que son usados para identificar de forma única a los dispositivos móviles, además de la versión de Android que se estaba ejecutando). Sin embargo, dada la gravedad de la vulnerabilidad, los atacantes podrían haber obtenido mucha más información. Finalmente, las aplicaciones actuaban como un backdoor y podían descargar más código malicioso.

Las vulnerabilidades explotadas por estas aplicaciones no afectan a las versiones de Android 2.2.2 y superiores. Aunque, lamentablemente, la mayoría de los dispositivos están usando versiones de Android más antiguas.

Google decidió usar una función especial, conocida comunmente como “remote kill” o “kill switch”, para quitar las aplicaciones maliciosas de los dispositivos con Android infectados, sin que se requiera ninguna acción ni autorización por parte del usuario. Google también está aplicando una actualización de seguridad al Android Market, para eliminar el rootkit. Todos los usuarios afectados deberían recibir una notificación via e-mail explicando lo ocurrido. Aunque es posible reparar los dispositivos afectados, no es posible aplicar el parche automáticamente para reparar la vulnerabilidad que permitió el root exploit. Lo anterior ocurre porque la falla de seguridad está a nivel de sistema y requiere un upgrade para ser reparada. Esto último requiere la acción del carrier o del fabricante.

Si bien es cierto que la existencia del “kill switch” permite subsanar problemas como la instalación de aplicaciones maliciosas, me parece un arma de doble filo, que en algún momento podría volverse en contra de los usuarios (por ejemplo, eliminar aplicaciones que, aunque no sean maliciosas, Google simplemente no las quiere).

La falta de prolijidad, de parte de Google, al revisar las aplicaciones que se envían al Market, salta a la vista. Obviamente no pueden tener a personas revisando las aplicaciones manualmente, pero es posible disponer de herramientas automatizadas que revisen las aplicaciones, ya sea con análisis estático o dinámico (si se usan ambos, mucho mejor). No estoy seguro cómo opera Apple en este sentido, pero hasta ahora no se han visto aplicaciones dañinas como las 58 que estuvieron la semana pasada en el Android Market.

Es cierto que el Market de Android ofrece un sistema de flags y ratings para sus aplicaciones, pero llevar a los usuarios a usar sólo aplicaciones de desarrolladores conocidos impediría la entrada de nuevos desarrolladores, ya que la gente no confiaría en ellos.

Más información en TechCrunch.
Publicado en Actualidad,Español,Seguridad,Software Libre | Sin comentarios

Malware en Mac OS X

apple-chainsContrario a lo que muchos piensan, sí existe malware[1] para Mac OS X, y está lejos de desaparecer. Entre las predicciones sobre seguridad, hechas por McAfee, para este 2011, se encuentra un gran incremento en las amenazas para OS X. El mejor ejemplo de malware para Mac es Koobface, que de hecho es multiplataforma (afecta también a Windows y Linux).

Seguridad en Mac OS X

Sin embargo, no deberíamos ver una explosión de infecciones como las que se vivieron con Windows XP. Los sistemas operativos modernos[2], como Mac OS X Snow Leopard y Windows 7, son mucho más seguros. Una de las principales características de seguridad, que ambos SO comparten, es el uso regular de un usuario sin privilegios de administrador, y la correspondiente solicitud de credenciales al momento de cambiar una configuración o instalar una aplicación. Lamentablemente, el sistema más utilizado sigue siendo XP.

Apple ha mejorado bastante la seguridad de su sistema operativo. Snow Leopard incluye la mayoría de las medidas de seguridad usadas en Windows 7. No obstante, la implementación incompleta de la Library Randomization (conocida en Windows como ASLR) lo deja atrás con respecto al sistema de Microsoft. Quizá veamos mejoras con respecto a este tema en agosto, cuando Apple libere la nueva Mac OS X 10.7.

Debemos recordar también que Mac usa un sistema de direcciones de 64 bits y Data Execution Protection (DEP), lo que mejora bastante la seguridad. Sumado a lo anterior, también está el firewall, el sistema anti-malware y la no implementación de un sistema autorun como el de Windows XP, que, aunque fue parchado, sigue siendo un vector importante de infección.

¿Por qué el mito de que en Mac OS X no existen viruses o malware en general?

Principalmente por la baja popularidad del sistema. Hasta ahora no había un real interés de los creadores de malware por tener entre sus targets al sistema operativo de Apple. Pero este panorama ha cambiado. Basta entrar a cualquier cafetería (como Starbucks) para ver a varias personas con sus MacBooks, o revisar las noticias y ver cuántas Apple Store se han abierto, o mirar la bolsa de valores y ver como ha subido el valor de Apple (AAPL).

Otro factor importante es el hecho de que no existe un ecosistema cómodo para desarrollar malware para Mac. Son muy pocos los creadores de malware que escriben un ataque desde cero. La mayoría usa toolkits y paquetes para crear variantes de amenazas ya existentes; y la mayoría son para Windows. Esto no significa que nadie ataque a usuarios de Mac (como se indicó en la introducción de este artículo), pero el esfuerzo que se requiere, por ahora, es mayor.

Los usuarios de Mac necesitan protegerse

La falta de preocupación de los usuarios de Mac, con respecto a los problemas de seguridad, los convierte en potenciales blancos fáciles. Es problema que muchos usuarios, confiados en la supuesta inmunidad de Mac OS X, estén con la guardia baja y no se den cuenta cuando un caballo de troya es dejado en sus puertas, y lo dejen entrar sin revisión alguna.

Además de las medidas básicas, como no abrir archivos adjuntos que no se esperaban, no visitar sitios Web de baja reputación (¡es muy recomendado usar SiteAdvisor!), es recomendable instalar algúna solución profesional como McAfee Internet Security for Mac, o un anti-virus como Sophos Anti-Virus for Mac. También se recomienda tener activado el Firewall de OS X (System Preferences -> Security), tener las cuentas de usuario protegidas con contraseña, encriptar archivos sensibles, etc.

Apple también está preocupada por la seguridad de OS X. De hecho, recientemente ha contratado a David Rice como Director Global de Seguridad. Seguramente vermos muchas mejoras, con respecto a la seguridad de Mac, en las próximas versiones de este sistema operativo.


[1] Malware es cualquier aplicación que podría causar un daño intencional al sistema; viruses son considerados un tipo especial de malware.

[2] El hecho de no mencionar a Linux no quiere decir que no sea un sistema operativo moderno. Simplemente no es del interés de este artículo.

Publicado en Español,Mac,Seguridad | Sin comentarios

Sitios de interés