Fallas de seguridad en Android y su Market

La semana pasada (martes) salió a la luz pública una información que indicaba que se habían detectado aplicaciones maliciosas en el Android Market. Google ahora (Sábado) ha confirmado que fueron 58 las aplicaciones dañinas que estaban disponibles en el Market, y que fueron descargadas por, al menos, 260.000 dispositivos, antes que Google las eliminara.

Estas 58 aplicaciones, eran versiones pirateadas de juegos y utilidades populares. Una vez descargadas, las aplicaciones obtenían root en el dispositivo utilizando un método conocido como “rageagainstthecage”. Luego usaban un ejecutable de Android (APK) para obtener los datos del usuario y del dispositivo (IMEI/IMSI, códigos que son usados para identificar de forma única a los dispositivos móviles, además de la versión de Android que se estaba ejecutando). Sin embargo, dada la gravedad de la vulnerabilidad, los atacantes podrían haber obtenido mucha más información. Finalmente, las aplicaciones actuaban como un backdoor y podían descargar más código malicioso.

Las vulnerabilidades explotadas por estas aplicaciones no afectan a las versiones de Android 2.2.2 y superiores. Aunque, lamentablemente, la mayoría de los dispositivos están usando versiones de Android más antiguas.

Google decidió usar una función especial, conocida comunmente como “remote kill” o “kill switch”, para quitar las aplicaciones maliciosas de los dispositivos con Android infectados, sin que se requiera ninguna acción ni autorización por parte del usuario. Google también está aplicando una actualización de seguridad al Android Market, para eliminar el rootkit. Todos los usuarios afectados deberían recibir una notificación via e-mail explicando lo ocurrido. Aunque es posible reparar los dispositivos afectados, no es posible aplicar el parche automáticamente para reparar la vulnerabilidad que permitió el root exploit. Lo anterior ocurre porque la falla de seguridad está a nivel de sistema y requiere un upgrade para ser reparada. Esto último requiere la acción del carrier o del fabricante.

Si bien es cierto que la existencia del “kill switch” permite subsanar problemas como la instalación de aplicaciones maliciosas, me parece un arma de doble filo, que en algún momento podría volverse en contra de los usuarios (por ejemplo, eliminar aplicaciones que, aunque no sean maliciosas, Google simplemente no las quiere).

La falta de prolijidad, de parte de Google, al revisar las aplicaciones que se envían al Market, salta a la vista. Obviamente no pueden tener a personas revisando las aplicaciones manualmente, pero es posible disponer de herramientas automatizadas que revisen las aplicaciones, ya sea con análisis estático o dinámico (si se usan ambos, mucho mejor). No estoy seguro cómo opera Apple en este sentido, pero hasta ahora no se han visto aplicaciones dañinas como las 58 que estuvieron la semana pasada en el Android Market.

Es cierto que el Market de Android ofrece un sistema de flags y ratings para sus aplicaciones, pero llevar a los usuarios a usar sólo aplicaciones de desarrolladores conocidos impediría la entrada de nuevos desarrolladores, ya que la gente no confiaría en ellos.

Más información en TechCrunch.
Publicado en Actualidad,Español,Seguridad,Software Libre | Sin comentarios

Sitios de interés