211service.com
Google aprueba una aplicación que roba todos sus datos
El Bouncer automatizado de Google para aplicaciones, que debería evitar que aparezca software móvil dañino en la tienda de aplicaciones de la empresa, parece tener serios puntos ciegos. El sistema escaneó repetidamente pero dejó pasar una aplicación que roba sigilosamente datos personales como fotos y contactos, informaron dos investigadores de la empresa de seguridad informática Trustwave en el Sombrero negro conferencia de seguridad en Las Vegas ayer.
Nicolas Percoco y Sean Schulte son miembros del grupo de investigación de piratería ética de Trustwave, conocido como SpiderLabs , y crearon la aplicación para probar la capacidad de Google de examinar el software cargado en su tienda de aplicaciones. La pareja dijo que los resultados muestran que Google necesita mejorar tanto su sistema de escaneo de aplicaciones como su sistema operativo Android.
A medida que más personas intercambian computadoras de escritorio y portátiles por teléfonos inteligentes y tabletas, la seguridad móvil se vuelve cada vez más importante. Muchos usuarios también se comportan como si todo lo que descargan de una tienda de aplicaciones fuera seguro.
El truco es vergonzoso para Google, que anunció la existencia del gorila sistema de seguridad que escanea aplicaciones en la tienda de aplicaciones de la empresa en febrero de este año, diciendo en ese momento que se había utilizado desde finales de 2011 con éxito (ver Ataques en Android Intensify). En junio de este año, dos investigadores de otra empresa de seguridad, Duo Security, atacó a Bouncer mismo , proporcionando detalles de cómo funciona.
Percoco y Schulte estaban más interesados en mostrar cómo los delincuentes que esperaban ganar dinero con malas aplicaciones podían eludir el sistema Bouncer. Subieron una aplicación inofensiva a la tienda de aplicaciones de Google y luego la actualizaron sucesivamente para que fuera más y más desagradable para ver hasta dónde podían llegar antes de que Bouncer entrara en acción.
La aplicación original, llamada SMS Bloxor, simplemente bloqueaba los mensajes de texto de ciertos números. Se eligió el bloqueo de SMS porque los investigadores querían disuadir a los usuarios de descargar la aplicación. Otras aplicaciones, muchas de las cuales son gratuitas, ya ofrecen la misma funcionalidad, y SMS Bloxor tenía un precio de 49,95 dólares. No queríamos que 5.000 usuarios descargaran nuestra aplicación maliciosa, dijo Percoco. Soy la única persona que lo compró.
La primera versión tenía incorporada una función simple de teléfono para el hogar para que los investigadores supieran si Bouncer probó la aplicación. Google no ha publicado detalles técnicos de Bouncer, pero ha dicho que prueba las aplicaciones escaneando su código y ejecutándolas dentro de un teléfono simulado para ver qué hacen. Eso implica darle acceso a Internet a una aplicación, por lo que cuando SMS Bloxor llamó a casa unos minutos después de ser cargado en la tienda Google Play, estaba claro que Bouncer lo había escaneado. Luego, la aplicación apareció en la tienda de aplicaciones de Google Play y estaba lista para que cualquiera la descargara.
Luego, los investigadores enviaron siete versiones actualizadas, cada una de las cuales agregó más características maliciosas. El primero fue capaz de enviar en secreto los contactos de una persona a los creadores de la aplicación. Las siguientes versiones podrían robar mensajes de texto, copiar la información de identificación de un teléfono, robar fotos, robar registros de llamadas, secuestrar la pantalla y, finalmente, atacar una dirección de Internet inundándola con solicitudes de datos, una táctica que puede derribar sitios web si hay muchos infectados. las computadoras trabajan juntas, lo que se conoce como ataque distribuido de denegación de servicio (DDoS).
Esperábamos que uno de estos pasos, como una pantalla falsa o DDoS, nos atrapara. Y no fue así, dijo Schulte. Bouncer escaneó y ejecutó las versiones actualizadas de la aplicación, pero siempre lo dejó pasar. Eso probablemente se debió a que Bouncer nunca vio la aplicación en su peor momento. Aunque las versiones escaneadas tenían todo el código necesario para hacer cosas malas, los investigadores esperaron hasta después de haber pasado por alto a Bouncer para enviar a la aplicación las instrucciones finales que necesitaba para habilitar la actividad maliciosa.
SMS Bloxor finalmente se retiró de la tienda después de que los investigadores cargaran una versión que enviaba continuamente todos los datos de un dispositivo a los creadores de la aplicación, sin detenerse nunca. Un correo electrónico automatizado le informó a Percoco que su cuenta de desarrollador había sido suspendida y el experimento finalizó. No se envió ninguna advertencia a la única persona que había pagado y descargado la aplicación: el propio Percoco.
La pareja informó a Google del experimento antes de su presentación ayer por la tarde y se reunió con representantes de la compañía inmediatamente después para discutir sus hallazgos.
Percoco sugirió que Google podría expandir el alcance de Bouncer y convertirlo en una función de todos los teléfonos Android, donde podría verificar el comportamiento de una aplicación después de que se haya instalado. Percoco también dijo que Google debería reconsiderar la función que permite que el nuevo código se envíe silenciosamente a las aplicaciones después de que se hayan subido a Google Play.
Google y otros proveedores de tiendas de aplicaciones primero diseñaron estas tiendas principalmente con un modelo de negocio, en lugar de la seguridad, en mente, a medida que se intensificaba la competencia para explotar el auge de los dispositivos móviles. Sin embargo, la gran cantidad de dispositivos en circulación y el papel íntimo que tienen en la vida de las personas ha convencido a muchos expertos en seguridad de que las tiendas de aplicaciones pronto estarán sujetas a importantes esfuerzos criminales. Google informó el mes pasado que se han activado más de 400 millones de dispositivos Android desde que estuvieron disponibles por primera vez en 2008 (ver Android ha llegado), y que cada día se activan un millón más.
Percoco dijo que Google y otros han tenido suerte hasta ahora y todavía tienen tiempo para adelantarse a la próxima ola. Por ahora, la mayoría de los ejemplos de malware móvil consisten en ataques dirigidos contra personas, como directores ejecutivos que pueden tener acceso a datos corporativos valiosos. A la vuelta de la esquina habrá una catástrofe más generalizada que podría afectar a decenas de miles o millones de usuarios.