Mal comportamiento de la aplicación móvil Android

Las vulnerabilidades de seguridad y el software espía son ahora un problema grave para los usuarios de teléfonos inteligentes.





Serpiente de Troya: Una aplicación de Android llamada Tap Snake se hace pasar por un juego inocente, pero se puede utilizar para rastrear a los usuarios involuntarios a través de GPS. Esta pantalla muestra los permisos que requiere.

En julio, por ejemplo, Citigroup anunció que su programa de banca móvil para iPhone guardaba de forma inapropiada información confidencial, incluidos los números de cuenta del usuario y su PIN, sin cifrar en un archivo oculto al que podían acceder otros programas que se ejecutaban en el iPhone del usuario. Los números de cuenta y el PIN también se copiaron en la computadora de escritorio del usuario cuando se sincronizó el iPhone.

Las cosas están algo mejor en la plataforma Android de Google gracias al modelo de seguridad subyacente del sistema operativo. Las aplicaciones de iPhone tienen acceso completo a los datos de cada aplicación. Pero las aplicaciones de Android deben especificar qué permisos necesitan. Los permisos pueden incluir la capacidad de acceder a las entradas en la libreta de direcciones del usuario, determinar la ubicación de un dispositivo usando el GPS y hacer llamadas telefónicas. Los permisos se encuentran en un archivo especial y se muestran cuando se instala la aplicación; también son visibles en el panel de control de la aplicación de Android. Actualmente, Android admite 114 permisos diferentes, que puede ver en la sitio web del desarrollador .



El sistema de permisos de Android no evita que las aplicaciones roben sus datos o realicen otras acciones maliciosas, simplemente facilita la búsqueda de las aplicaciones que participan en esta práctica. Pero cada vez está más claro que esto no siempre es suficiente.

En julio pasado, por ejemplo, los investigadores descubrieron que un programa de fondos de pantalla gratuito para Android llamado Jackeey recopilaba información personal, incluidos los números de teléfono del usuario, la información del correo de voz y los datos del operador, y la enviaba a un sitio web en China. Luego, en agosto, se descubrió que un juego gratuito llamado Tap Snake es en realidad una herramienta para monitorear de forma encubierta la ubicación de una persona. Tap Snake se ejecuta como un servicio en segundo plano y envía la ubicación de un teléfono a un sitio web; la persona que instaló el juego en ese teléfono podría monitorear la ubicación del teléfono con otro programa llamado GPS Spy.

Tap Snake no viola el modelo de seguridad de Android: el programa requiere la capacidad de ejecutarse como un servicio, monitorear la posición del GPS y comunicarse a través de Internet. Pero hay dos problemas con el modelo de seguridad de Android. La primera es la granularidad: aunque se requiere que los programas de Android le digan al usuario qué permisos usan, eso no explica qué hacen realmente las aplicaciones con estos permisos. El segundo problema es el compromiso: el modelo requiere que alguien use esta información y asuma la responsabilidad de la seguridad del usuario.



Una revisión de algunas aplicaciones de Android destaca este problema. Hace unas semanas me recomendaron una aplicación llamada Rare Black Wallpapers como una forma de ahorrar batería. Noté que la aplicación requería la capacidad de modificar o eliminar el contenido de la tarjeta SD, acceso completo a Internet y la capacidad de leer el estado y la identidad de mi teléfono. Sorprendido, envié un correo electrónico a Hero Planet, la empresa que ofrece esta aplicación, y les pregunté por qué se necesitaban estos permisos. Hero Planet nunca respondió, así que desinstalé el programa.

Asimismo, el programa Salamander eBook Reader para Android requiere permisos para determinar su posición física, obtener acceso completo a Internet y leer el estado y la identidad del teléfono. Envié un correo electrónico a Feel Social, el editor, pero no obtuve respuesta. Parece que el sitio web de Feel Social ha sido abandonado y nadie contestó el teléfono de la empresa cuando llamé. Pero la aplicación todavía está en Google Marketplace; ¿Qué hace esa aplicación con la información de mi GPS y el acceso completo a la red? Yo también lo desinstalé.

Otro programa que requiere más permisos de los que pensé apropiados es Documents to Go, un programa que me permite leer archivos de Microsoft Office con mi teléfono Android. Este programa requiere no solo la capacidad de leer y escribir en la tarjeta SD del teléfono, sino también acceso completo a Internet y la capacidad de leer el estado y la identidad del teléfono. También se inicia automáticamente cuando se inicia el teléfono. Envié un correo electrónico a DataViz, el creador del programa, y ​​esta vez obtuve una respuesta.



Laura Caiafa, gerente de soporte técnico de DataViz, me respondió diciéndome que Documents to Go en Android requiere la capacidad de leer la identidad del teléfono porque vincula los registros de productos con el número IMEI / MEID del teléfono (una especie de número de serie). Además, verificamos el estado de la red del teléfono en busca de itinerancia antes de permitir que el usuario se registre, lo que también requiere este permiso.

Se requiere acceso total a Internet para registrar la aplicación (lo que Documents to Go hace directamente, en lugar de hacerlo a través del navegador web). Finalmente, el programa comienza a instalarse cuando se enciende un teléfono.

Un problema con este enfoque de encuesta manual es que consume mucho tiempo. Un segundo problema es que no puede saber qué está haciendo el teléfono con estos permisos: ¿está enviando mis datos confidenciales a delincuentes, está usando mi posición y acceso a Internet para mostrarme anuncios basados ​​en la ubicación, o simplemente está registrando mi aplicación para poder obtener actualizaciones gratuitas?



Una solución de trabajo a este problema se presentará el miércoles en el Simposio Usenix sobre Diseño e Implementación de Sistemas Operativos (OSDI) en Vancouver, Canadá. Llamado TaintDroid, el programa utiliza un enfoque llamado etiquetado o contaminación de datos para monitorear el flujo de información personal a través de un teléfono Android en ejecución.

Desarrollado por investigadores de la Universidad Estatal de Pensilvania, la Universidad de Duke e Intel Labs, TaintDroid fue diseñado para analizar 30 aplicaciones de Android diferentes. Los investigadores hicieron algunos descubrimientos muy interesantes. Por ejemplo, aunque 21 de las 30 aplicaciones requerían permiso para leer el estado del teléfono y permiso para comunicarse a través de Internet, solo dos de las aplicaciones transmitieron el número de teléfono del dispositivo o el código único al servidor remoto. Uno de estos transmite la información cada vez que se inicia el teléfono, lo que permite al desarrollador saber cuántos teléfonos tienen instalada la aplicación actualmente, pero también viola la privacidad de cada usuario de una manera bastante significativa.

Los investigadores escriben en su artículo que la mitad de las aplicaciones que monitorearon transmitieron los datos de ubicación del usuario a servidores de publicidad de terceros sin requerir el consentimiento implícito o explícito del usuario, es decir, sin divulgar este hecho en el Acuerdo de licencia de usuario final de la aplicación. En algunos casos, los datos de ubicación se transmitieron a los servidores de anuncios incluso cuando no se mostraba ningún anuncio en la aplicación. Puede descargar el documento de los investigadores sitio web .

Algunos comentaristas pueden argumentar que el documento OSDI es una prueba más de que la política de Apple de examinar manualmente cada aplicación en su tienda de aplicaciones es superior a la política de Android. La verdad es que no sabemos cuántas aplicaciones ocultas en la App Store de Apple roban información personal porque no existe una manera fácil de auditar las capacidades de los programas que están disponibles para descargar. El proceso de revisión de Apple no evalúa el código fuente de la aplicación, por lo que sería posible que un desarrollador malintencionado (o incluso un solo programador dentro de una empresa de desarrollo de aplicaciones) se cuele algo. Al menos con Android, el sistema operativo intenta evitar que las aplicaciones accedan a los datos de las demás y que usen Internet a menos que soliciten ese permiso.

Otro factor a favor de Android es su uso del sistema operativo Linux, para el cual está disponible todo el código fuente. Los investigadores de Penn State, Duke e Intel podrían desarrollar TaintDroid porque es relativamente fácil de conseguir bajo el capó de Android e instalar la funcionalidad necesaria. Aunque podría ser posible lograr los mismos resultados en el iPhone, el proceso de ingeniería inversa sería mucho más difícil.

Pero la información sobre el mal comportamiento de las aplicaciones no será suficiente para brindar seguridad a los usuarios de Android. Los usuarios simplemente carecen de la vigilancia y el conocimiento para hacer uso de la información que proporciona Android. A menos que Google establezca políticas para proteger la privacidad de sus usuarios móviles, Android se verá cada vez más como un sistema plagado de problemas de seguridad, incluso si la verdadera razón de esto es que tenemos una mejor idea de lo que está sucediendo en Android que en el otras plataformas de teléfonos inteligentes.

esconder