djlago
20/08/2010, 04:48
Un día más, otro susto más con una aplicación Android. Esta vez, la aplicación en cuestión no es un troyano ruso (http://www.elmundo.es/elmundo/2010/08/11/navegante/1281520303.html) que vacía cuentas bancarias, sino un clon de aspecto inocente del juego Snake llamado Tap Snake. Sin embargo, Tap Snake no es sólo un juego. En realidad es un 'software' cliente de una aplicación de espionaje comercial llamada GPS Spy (http://www.androlib.com/android.application.net-maxicom-android-gpsspy-jwxCm.aspx) .
En combinación con Tap Snake, GPS Spy puede hacer el seguimiento de la ubicación física del teléfono móvil con el juego instalado.
No obstante, no se trata de una amenaza grave. Por muy terrible que suene el 'spyware' móvil, el peligro no es para tanto, según afirman investigadores en seguridad.
Si buscábamos un juego de serpientes y hemos terminado con Tap Snake, los permisos que nos solicita al instalarlo deberían servirnos de aviso. ¿Acceder a la ubicación? ¿Acceder a Internet? ¿Para qué iba a necesitar eso un juego? ¿Por qué parpadea el icono del satélite (GPS) cuando jugamos al juego?
Todo esto deberían ser señales claras para un usuario de teléfonos inteligentes con experiencia de que el juego en cuestión podría estar haciendo entre bastidores algo más de lo que debería.
Sin embargo, el problema está en que las víctimas de este juego probablemente no sean los usuarios experimentados, sólo los corrientes.
Cómo funciona Tap Snake/GPS Spy
Tras permitir a un tercero acceder a su teléfono, ya sea a sabiendas o no, la víctima descubrirá que se ha instalado un juego nuevo en el dispositivo. De lo que no se daría cuenta es de que el sencillo juego de serpientes tiene dos funciones ocultas.
"Primero", explica la empresa de seguridad F-Secure en una entrada en su blog (http://www.f-secure.com/weblog/archives/00002011.html), "el juego no se cerrará. Una vez instalado, se ejecuta siempre de fondo, y se reinicia automáticamente cuando reiniciamos el teléfono. En segundo lugar, cada 15 minutos, el juego informa secretamente a un servidor de la ubicación GPS del teléfono".
Para que se produzca el espionaje en sí, no obstante, quien quisiera realizar el espionaje tendría que comprar GPS Spy, una aplicación espía para móviles de 4,99 euros registrada con el mismo código en clave o la misma dirección de correo que Tap Snake. Debido a este requisito, primero tendría que acceder físicamente al dispositivo que quiere vigilar.
Los datos GPS que se transmiten entre ambas aplicaciones se almacenan en el servicio App Engine gratuito de Google, según afirma Symantec, la empresa de seguridad que identificó el código malicioso como AndroidOS.Tapsnake. GPS Spy, a continuación, puede descargar los datos y mostrarlos en Google Maps para hacer un seguimiento fácilmente. Cada punto de datos registrado incluye un mapa y un sello temporal, junto con coordenadas de latitud y longitud.
Symantec afirma que ha decidido clasificar esta aplicación como troyano, ya que no deja ver su propósito principal de entrada, sino que lo enmascara como un juego inocente. Aún así, reconoce que usarlo para espiar probablemente requeriría "algo de ingeniería social también, algo como 'Ey, deja que te enseñe este juego tan chulo'".
¿Es la seguridad responsabilidad del usuario?
Las empresas de seguridad advierten del peligro, pero también señalan que no es muy grave y que es poco probable que se extienda demasiado. Según advierte la fuente de noticias de la industria GoMo News, los usuarios de Android sólo "tienen que prestar atención (http://www.readwriteweb.es/analisis/android-privacidad/)" a los permisos que solicitan las aplicaciones.
Ese fue el mismo consejo que dio Google cuando los teléfonos Android sufrieron el ataque de un troyano la última vez. "Los usuarios deben aprobar explícitamente este acceso para poder continuar con la instalación", explicaba un portavoz de Google. "Aconsejamos siempre a los usuarios que sólo instalen aplicaciones de confianza. En particular, los usuarios deberían tener cuidado al instalar aplicaciones ajenas al Android Market".
El problema con este modelo de seguridad, como bien saben los usuarios de Windows, es que cuando dejamos la seguridad en manos del usuario final, se producen problemas.
Microsoft finalmente resolvió algunos de estos problemas con la incorporación del 'Control de cuentas de usuario' en Windows Vista y Server 2008. Ahora es una función estándar en sistemas operativos Windows. El CCU, como se le conoce, es la irritante pero protectora caja emergente que aparece para advertir a los usuarios finales de que los programas están solicitando un acceso más amplio.
¿Es momento de que Google implante también su propia versión de un sistema de alertas de seguridad? ¿O acaso los usuarios de Android simplemente aceptarían sin pensar estas advertencias, como hacen actualmente en la mayoría de las aplicaciones?
En combinación con Tap Snake, GPS Spy puede hacer el seguimiento de la ubicación física del teléfono móvil con el juego instalado.
No obstante, no se trata de una amenaza grave. Por muy terrible que suene el 'spyware' móvil, el peligro no es para tanto, según afirman investigadores en seguridad.
Si buscábamos un juego de serpientes y hemos terminado con Tap Snake, los permisos que nos solicita al instalarlo deberían servirnos de aviso. ¿Acceder a la ubicación? ¿Acceder a Internet? ¿Para qué iba a necesitar eso un juego? ¿Por qué parpadea el icono del satélite (GPS) cuando jugamos al juego?
Todo esto deberían ser señales claras para un usuario de teléfonos inteligentes con experiencia de que el juego en cuestión podría estar haciendo entre bastidores algo más de lo que debería.
Sin embargo, el problema está en que las víctimas de este juego probablemente no sean los usuarios experimentados, sólo los corrientes.
Cómo funciona Tap Snake/GPS Spy
Tras permitir a un tercero acceder a su teléfono, ya sea a sabiendas o no, la víctima descubrirá que se ha instalado un juego nuevo en el dispositivo. De lo que no se daría cuenta es de que el sencillo juego de serpientes tiene dos funciones ocultas.
"Primero", explica la empresa de seguridad F-Secure en una entrada en su blog (http://www.f-secure.com/weblog/archives/00002011.html), "el juego no se cerrará. Una vez instalado, se ejecuta siempre de fondo, y se reinicia automáticamente cuando reiniciamos el teléfono. En segundo lugar, cada 15 minutos, el juego informa secretamente a un servidor de la ubicación GPS del teléfono".
Para que se produzca el espionaje en sí, no obstante, quien quisiera realizar el espionaje tendría que comprar GPS Spy, una aplicación espía para móviles de 4,99 euros registrada con el mismo código en clave o la misma dirección de correo que Tap Snake. Debido a este requisito, primero tendría que acceder físicamente al dispositivo que quiere vigilar.
Los datos GPS que se transmiten entre ambas aplicaciones se almacenan en el servicio App Engine gratuito de Google, según afirma Symantec, la empresa de seguridad que identificó el código malicioso como AndroidOS.Tapsnake. GPS Spy, a continuación, puede descargar los datos y mostrarlos en Google Maps para hacer un seguimiento fácilmente. Cada punto de datos registrado incluye un mapa y un sello temporal, junto con coordenadas de latitud y longitud.
Symantec afirma que ha decidido clasificar esta aplicación como troyano, ya que no deja ver su propósito principal de entrada, sino que lo enmascara como un juego inocente. Aún así, reconoce que usarlo para espiar probablemente requeriría "algo de ingeniería social también, algo como 'Ey, deja que te enseñe este juego tan chulo'".
¿Es la seguridad responsabilidad del usuario?
Las empresas de seguridad advierten del peligro, pero también señalan que no es muy grave y que es poco probable que se extienda demasiado. Según advierte la fuente de noticias de la industria GoMo News, los usuarios de Android sólo "tienen que prestar atención (http://www.readwriteweb.es/analisis/android-privacidad/)" a los permisos que solicitan las aplicaciones.
Ese fue el mismo consejo que dio Google cuando los teléfonos Android sufrieron el ataque de un troyano la última vez. "Los usuarios deben aprobar explícitamente este acceso para poder continuar con la instalación", explicaba un portavoz de Google. "Aconsejamos siempre a los usuarios que sólo instalen aplicaciones de confianza. En particular, los usuarios deberían tener cuidado al instalar aplicaciones ajenas al Android Market".
El problema con este modelo de seguridad, como bien saben los usuarios de Windows, es que cuando dejamos la seguridad en manos del usuario final, se producen problemas.
Microsoft finalmente resolvió algunos de estos problemas con la incorporación del 'Control de cuentas de usuario' en Windows Vista y Server 2008. Ahora es una función estándar en sistemas operativos Windows. El CCU, como se le conoce, es la irritante pero protectora caja emergente que aparece para advertir a los usuarios finales de que los programas están solicitando un acceso más amplio.
¿Es momento de que Google implante también su propia versión de un sistema de alertas de seguridad? ¿O acaso los usuarios de Android simplemente aceptarían sin pensar estas advertencias, como hacen actualmente en la mayoría de las aplicaciones?