lunes, 7 de marzo de 2011

TapJacking

Sinopsis: Mas problemas de seguridad en móviles que corren con Android.

Vulnerabilidad de Android. Mas poderoso que el tradicional ClickJacking, Tapjacking utiliza las características de los navegadores móviles para atacar tu smartphone.La semana pasada, cuando te escribí sobre el Kaspersky Mobile Security 9, te decía que si hay malware para Android, y te contaba sobre un malvado troyano (1) llamado Trojan-SMS.AndroidOS.FakePlayer.a, pero no es la única amenaza que acecha al sistema operativo de Google.

Verás: una de las ventajas de Android es que da una gran facilidad a los desarrolladores para publicar sus aplicaciones en el Android Market, pero Google no las revisa, así que eres tú quien decide si una aplicación es o no segura y, en consecuencia, si es o no seguro descargarla. Por lo tanto, existe la posibilidad de que algunas aplicaciones contengan malware y, si es así, sólo podrás enterarte de su existencia por 2 vías; una es si te afectó directamente, la otra es a través de los comentarios y advertencias que otros usuarios hayan hecho sobre ellas, por lo que es saludable que, como es común en el ámbito del software libre, al detectarlas lo publiques para que la comunidad de usuarios esté al tanto, y también que lo notifiques a Google para que tome las medidas correctivas necesarias.

De hecho, hace unos pocos días Google no sólo desincorporó del Android Market, sino que también prohibió 21 58 aplicaciones que fueron reportadas por sus usuarios y verificadas por Google como malware.

Pero entre ellas, gracias a Dios, no se encuentra algo como este TapJacking, un concepto parecido al del ClickJacking (2) del que nos advirtiera en su momento la empresa de seguridad informática ESET y del que ya te he contado.

hasta donde sé, de lo que se trata es de una vulnerabilidad de Android que permite que, en lugar de ver la interfaz normal en tu pantalla, veas algo así como una notificación Toast (3), pero diseñada para que ocupe toda la pantalla. Estas notificaciones son transparentes, es decir que permiten pasar los toques sobre ellas a la aplicación que hay por debajo, de manera que sólo hay que mantener la notificación permanentemente visible para que no sepas dónde estás pulsando.

Este vídeo colgado en Vimeo por los chicos de Lookout Mobile Security te lo muestra en acción y, si entiendes inglés, también te lo explica.


Como viste en el vídeo, si alguien desarrolla una aplicación que te muestre una cosa a la vista, pero es transparente a las pulsaciones en pantalla, podrías lanzar inadvertidamente otras aplicaciones que estén por debajo de ella, porque estarás tocando cosas que no ves, con lo que puedes ejecutar acciones no deseadas.

En verdad el problema es serio, porque con esta idea tan elemental cualquier atacante puede evitar la única protección de Android, que son los permisos que tienen las aplicaciones.

Afortunadamente, quienes descubrieron la vulnerabilidad no son personas malintencionadas, por lo que informaron a Google a tiempo para corregir la versión 2.3 (Gingerbread) del sistema, pero si tienes una versión anterior (que es lo mas probable) deberás ser muy cuidadoso con las aplicaciones que descargues hasta que liberen la actualización de tu versión o, alternativamente, instalar un buen antivirus en tu smartphone, aunque lo ideal sería que hicieras ambas cosas.

Eso si, a falta de mas información, tengo que recordar que el ClickJacking es (o era) una vulnerabilidad de los navegadores, por lo que, aunque esta haya sido descubierta en Android, no hay seguridad de que no pueda hacerse en otros sistemas operativos.

Nota: Después de publicado este post he sabido que, a partir de ahora, Google destruirá remotamente las aplicaciones malvadas instaladas en tu teléfono, sin necesidad de tu consentimiento.

Además Google ha actualizado el Android Market y reparado las vulnerabilidades que esas aplicaciones usaban, de forma que no tengas que esperar por la actualización del sistema por parte de los fabricantes de tu terminal.

Aunque estas medidas han sido rápidas, lo que sigue hablando muy bien de Google, igual resulta una medida prudente que te hagas con un buen programa antimalware para tu terminal.

Contenido relacionado:


Glosario:

(1) Troyano: Programa malicioso capaz de alojarse en tu computadora o smartphone y permitir el acceso a usuarios externos.
(2) ClickJacking: Consiste en que haces click en un enlace, pero en realidad eres redirigido a otro sitio controlado por terceros.
(3) Notificación Toast: Tipo de notificación que informa al usuario en pantalla de algún evento dejando que el programa principal continúe ejecutándose.

Me enteré en: GENBETA

No hay comentarios:

Publicar un comentario en la entrada

Gracias por comentar este post. Al hacerlo te agradezco que tomes en cuenta que no publicaré:
1.- Comentarios que contengan spam.
2.- Los que sean ofensivos o irrespetuosos.
3.- Los escritos en mayúsculas, porque en la web es considerado como si gritaras.

FeedBurner

Powered by FeedBurner