Búsqueda personalizada

Virus en Android, lo que hay que saber

En agosto último daba la noticia, en uno de mis videoanálisis para lanacion.com, de la aparición del primer troyano para Android, uno que se ocupaba de enviar subrepticiamente mensajes de texto a servicios premium en Rusia ( http://videos.lanacion.com.ar/video16052-1 ). También anticipaba la llegada de los antivirus para los teléfonos inteligentes con el sistema operativo de Google.

Menos de medio año después esto es una realidad contundente: al menos una docena de productos gratis y comerciales para protección antivirus están ahora disponibles. No es para menos: los virus para esta plataforma siguen multiplicándose. Dos estudios que me hizo llegar la gente de Symantec consignan la naturaleza, el comportamiento (con código fuente incluido) y la forma de transmisión de los primeros experimentos serios de los piratas informáticos para tomar control de los smartphones con Android.

La peor noticia llegó a principios de este mes, cuando Google admitió la existencia de aplicaciones infectadas en su tienda oficial de software, más conocida como Android Market ( https://market.android.com ). Cierto es que el gigante de las búsquedas y principal promotor de Android erradicó tales aplicaciones de inmediato, que las borró de los teléfonos que habían sido comprometidos y que hasta dio parte a las autoridades.

Pero fue un traspié gravísimo que, obviamente, Apple supo aprovechar cuando lanzó la iPad 2. Algo así como con Apple estas cosas no pasan . En un punto no les falta razón. Pero las cosas nunca son tan sencillas.

No son teléfonos

Partamos de lo básico. Los que antes eran celulares con sistemas operativos limitados y sin acceso a Internet hoy son computadoras de bolsillo con más poder de cómputo que el de las PC de hace una década, acceso a Internet por banda ancha y la capacidad de instalar aplicaciones de terceros. La cuestión es, en términos de seguridad, qué pueden y qué no pueden hacer estas aplicaciones de terceros. Si son capaces de robarnos dinero enviando SMS subrepticiamente o usando nuestro plan de datos, entonces tenemos un problema.

Y si pueden hurtarnos información, peor. Porque los móviles pasaron de ser teléfonos que almacenaban una breve agenda de contactos y algunas fotos borrosas a cobijar casi toda nuestra vida en línea.

Antes, ahora, después

Los dos sistemas que vienen dominando el mercado smartphone, Symbian y BlackBerry OS, son bien conocidos por su seguridad, y ambos recurren al mismo mecanismo para conseguir que las aplicaciones no hagan cosas indeseables. Los programadores deben firmar digitalmente sus productos, si quieren acceder a funciones críticas. La responsabilidad (y los costos) de la seguridad recaen sobre los hombros de los desarrolladores.

Pero Symbian está destinado a desaparecer y BlackBerry casi seguramente también, dándole paso a QNX (un sistema tipo-Unix). Entre tanto, los dos sistemas más pujantes son iOS (Apple) y Android. Uno de los estudios de Symantec estima que para fin de año cada uno se habrá quedado con el 31% del mercado. Las cifras varían mucho entre los analistas, hay que reconocerlo, pero Ricardo Blanco, gerente de comunicación de productos para América latina de Google, con quien hablé para esta nota, me dijo que están activando 350.000 dispositivos con Android por día. Así que es un hecho, Apple seduce y Android no para de crecer.

El asunto es que tanto Android como iOS administran la seguridad de sus usuarios de formas muy diferentes de Symbian y BlackBerry. Y diferentes entre sí, además.

Tutor y encargado

Apple controla cada aspecto de las aplicaciones de su AppStore, asumiendo la responsabilidad por la ausencia de malware. La vigilancia del AppStore y las restricciones que la compañía impone a lo que los usuarios pueden instalar en sus equipos mantienen las amenazas a raya. Que recuerde aparecieron sólo un par de malware para iPhone, y sólo atacaban los equipos a los que se había hecho jailbreaking.

El jailbreaking no es sino una respuesta a este corralito que irrita a muchos usuarios de iPhone. Se calcula que alrededor de un 8% de ellos ha roto los precintos de software de Apple. Tiene sentido. La idea de que una compañía me diga qué puedo hacer con un dispositivo que me pertenece y que ejerza control incluso sobre los contenidos, determinando qué es aceptable y qué no, eriza la piel.

Pero además hay otro problema. Una cosa es seguridad y otra, vigilancia. Cuidado con eso, porque la vigilancia puede producir una falsa sensación de seguridad. Apple se ufanó durante décadas de ser inmunes a los virus, y en realidad todo lo que ocurría era que no era una plataforma tan popular para que los piratas les dedicaran código. Los resultados del último certamen Pwn2Own son elocuentes. El navegador Web de Apple, Safari , fue hackeado en cinco segundos. El Internet Explorer 8 de Microsoft también había caído, más temprano.

¿Cuáles salieron indemnes? Chrome y Firefox. Los dos son software libre. (Sí, es verdad, de los dos grupos de hackers que desafiaron al Chrome uno no apareció y el otro decidió enfocarse en BlackBerry. Pero que no hubiera más de dos grupos para probar suerte con Chrome se debe a que este navegador viene de dos años seguidos de superar la prueba del Pwn2Own.)

Los límites de la vigilancia

En mi opinión vigilar no es la respuesta. Más tarde o más temprano la vigilancia cede; por negligencia, complacencia o desbordada por la habilidad y el número de los atacantes. La respuesta de Android es la opuesta a la de Apple. No es mejor en el corto plazo, pero puede serlo en el futuro.

El Market no vigila las aplicaciones y, fuera de que cada desarrollador debe aceptar las condiciones del sitio, lo que incluye respetar la privacidad y la seguridad del público, sus productos no pasan ningún examen. Salvo el de los usuarios, claro.

Este entorno autorregulado tiene sin embargo un costo. Como ocurrió con la PC, si uno pretende evitar la tutela de Apple (o de cualquier otra empresa), debe ejercer un poco de prudencia, eventualmente instalar un firewall y un antivirus y, sobre todo, conocer cómo funcionan sus plataformas. Vamos a eso.

¿Qué es Android?

Android es un Linux modificado. Puede sonar raro que los tengamos en los teléfonos, pero para cualquiera que conozca el sistema la idea de colocarlo en dispositivos con hardware limitado suena natural. ¿Por qué? Porque Linux se basa en un núcleo muy pequeño (de hecho, se lo llama microkernel ) del que, además, se pueden quitar o insertar funciones en tiempo real. Es, por lo tanto, ideal para embeberlo en dispositivos que en general tienen menos recursos de hardware que una computadora de escritorio.

Además, es software libre y esto aumenta la sinergia entre desarrolladores, compatibilidad, controladores y, por supuesto, seguridad. No es que el software libre tenga menos fallas. Lo que ocurre es que se las corrige más rápido. Y el tiempo es clave para evitar los ataques informáticos.

Obviamente, está también el tema del costo. Le pregunté a Ricardo Blanco cuánto tienen que pagar Samsung, HTC o Motorola para usar Android. "Cero dólares con cero centavos", me respondió.

Libertad es seguridad

No obstante, todos los que usamos Linux sabemos que este sistema es muy poderoso, pero a la vez está orlado de mitos. Uno de ellos es que está libre de virus. No es así. De nuevo, las cosas nunca son tan sencillas.

Sí es cierto que Linux es de lo más seguro que existe. ¿Por qué? Porque todos los usuarios (salvo uno) tienen permisos limitados para ejecutar programas y para lo que esos programas pueden hacer en el sistema. Dicho simple, incluso si un usuario lograse meter un virus en una máquina Linux, el bicho no podría hacer mucho más que infectar la carpeta de ese usuario. Quedaría confinado y sería incapaz de instalar una puerta trasera o manipular el hardware. Pero siempre hay un pero.

Si un malware consigue acceso de administrador en Linux podrá hacer lo que se le dé la gana; en esto no es diferente de cualquier otro sistema. Es extremadamente difícil obtener privilegios de administrador en un Linux correctamente configurado, pero se ha descubierto que eso, exactamente, hacen algunos los troyanos para Android.

¿Cuál es la diferencia fundamental entre una PC con Linux y un teléfono inteligente con Android? "Que el teléfono inteligente con Android no está pensado para tener acceso root ", me dijo Ricardo Blanco.

Rage Against The Machine

Root es el nombre que recibe el administrador en Linux y Unix. Root, administrador y superusuario son sinónimos.

Por fortuna, otra de las ventajas de Linux es que es muy dúctil. Por ejemplo, se puede restringir el acceso root . En Ubuntu, para citar un caso bien conocido, no se permite, de forma predeterminada, usar la cuenta root. Pero es fácil reactivarla, tanto como usar el comando sudo para tener acceso de administrador para instalar programas o modificar algún parámetro del sistema.

En Android el acceso root está descartado del todo.

Bueno, no tanto.

Al revés de lo que ocurre con el iPhone, obtener acceso de administrador (rootear, en la jerga) en Android es, casi diría, una obligación del usuario avanzado. No se trata de una práctica condenada que quiebra la garantía del producto y que debe ser defendida por la Corte Suprema, como el jailbreaking. No digo que sea una práctica muy difundida, pero no lo convierte a uno en un descastado. Es más, si uno revisa las apps del Market cada tanto aparece una que dice que funciona sólo si el equipo fue rooteado. Esto sería blasfemo en AppStore.

El problema es cuando el acceso root no es obtenido por voluntad propia, sino por una aplicación maliciosa o infectada con código malicioso. Eso es precisamente lo que hacen algunos de los virus que están apareciendo para Android, como el Android.Rootcager, que emplea la herramienta rageagainstthecage para obtener permisos de administrador en el dispositivo.

Con permiso, soy un virus

Pero la forma más común de meter un virus en un teléfono con Android es pidiendo al usuario que autorice más permisos de los que un programa de esa clase debería necesitar. ¿Qué es esto?

Si usted tiene un teléfono o una tablet con Android sabe que antes de instalar una aplicación se le pregunta si acepta conceder al programa ciertos permisos. Por ejemplo, la app de Twitter tendrá que acceder a la red para poder enviar y recibir los tweets. Si uno está de acuerdo con los permisos, sigue adelante con la instalación.

El principal problema de esta lógica es que nunca en la historia de la informática hemos prestado atención a esta clase de advertencias, por un lado, y por otro, no todo el mundo entiende lo que significan los permisos. Le dije a Ricardo Blanco si acaso Google no estaba exigiendo demasiado del usuario al someterlo a este interrogatorio. Me respondió que sí, y que por eso el Market ahora está cambiando la forma en que estas advertencias se presentan, para que ofrezcan una explicación más clara.

Los dos estudios de Symantec que mencionaba antes muestran lado a lado las capturas de pantalla de los permisos que exige la aplicación legítima y la troyanizada, como se dice en la jerga.

Las diferencias parecen ínfimas y, de hecho, el programa infectado funcionará normalmente, pero en segundo plano instalará y ejecutará un servicio que concede control remoto del teléfono al pirata, envía SMS y datos personales a terceros, y así.

Siempre a escondidas, claro. Pero hay un momento en que el pirata no puede sino exhibir sus cartas marcadas: cuando la aplicación infectada pide los permisos. Por ejemplo, mientras la Steamy Window legítima solicita acceso a la red y a los controles de hardware, la infectada exige también acceso a mensajería SMS, almacenamiento interno e historial de navegación y marcadores Web. Exagerado y sospechoso.

La versión auténtica de Monkey Jump 2 requiere acceso a la red, a nuestra localización geográfica y al estado del dispositivo de telefonía; la versión troyanizada pide acceso a las herramientas de sistema, mensajería y servicios de datos que cuestan dinero.

Sería de esperar que las personas pensaran dos veces antes de seguir adelante con una instalación con tales demandas. Pero ocurren varias cosas. En primer lugar no conocen la versión original y no pueden comparar. En segundo, y como consigna un estudio de AVG publicado en febrero ( http://www.avg.com/us-en/press-releases-news.ndi-973 ), un tercio de los usuarios de smartphones no son conscientes de los riesgos de seguridad de estas plataformas.

Inyección de código

El vector (método de distribución) más difundido de los virus para Android es el de tomar una aplicación legítima, inyectarle código malicioso y volver a subirla a los sitios de aplicaciones alternativos o a los sitios de file sharing. En algunos casos el gancho es que el usuario consigue sin pagar un programa que en el Android Market se vende por un cierto precio.

Pero el Market, como dije, también estuvo bajo ataque, y los piratas lograron subir versiones infectadas de programas legítimos. En los cuatro días que Google tardó en eliminarlas, de 200.000 a 260.000 teléfonos fueron infectados. Google no me dio una cifra oficial, aunque sin duda la tienen porque usaron un programa, el Android Market Security Tool 2011, para limpiar remotamente los smartphones infectados. Programa que al cierre de esta edición ya tenía una versión pirata en las tiendas no oficiales.

La mala noticia: la guerra ha comenzado. La buena: esto puede ayudar a reforzar la seguridad de Android y a aumentar la conciencia de los riesgos informáticos en sus usuarios.

Consejos prácticos y antivirus

Le pedí a Ricardo Blanco tres consejos simples para mantener un dispositivo con Android lo más seguro posible. Esto me dijo:

1. No permita instalar apps que no sean del Market oficial de Google ( http://market.android.com ). Para esto hay que quitar el tilde a Orígenes desconocidos en Configuración> Aplicaciones.

Este punto parece contradecirse con el ataque que el Market sufrió hace unos días, pero no es así. Pese a esto sigue siendo el lugar más confiable donde obtener apps, y a Google no le queda más remedio que hacer algo para que semejante gaffe no le vuelva a ocurrir. Si no lo hace, es el fin de Android.

2. Fijarse qué recursos va a usar del dispositivo. Si un jueguito o un protector de pantalla solicita autorización para enviar SMS o usar el plan de datos, algo está muy mal. Cancele la instalación.

3. Observe el número de personas que han bajado la app. Si son pocas y el programa es nuevo, no permita la actualización automática de ese programa.

Por mi parte, estuve viendo los antivirus que hay en el market. Los gratis más populares son AVG y LookOut, que incluye un sistema para ubicar dispositivos perdidos. Symantec tiene también un producto, aunque comercial ( http://us.norton.com/mobile-security/ ).

Por los que se preguntan por un firewall, Android ya trae un firewall, porque es un Linux. Se llama ip-tables , y lo que se encuentra en el Market son interfaces que facilitan el uso de ip-tables , aunque posiblemente no sea urgente cambiar nada allí.

Por Ariel Torres
@arieltorres

Sábado 12 de marzo de 2011

Fuente

Links de Interés:
Argentine Opportunities
Portal del Barrio de Palermo
Pasarelas
Multieventos
Portal de diseño y decoración
Make Up
Directorio Inmobiliario
Tango Camile
Buenos Aires y Tango
Buenos Aires Temporary Rent
Made in Argentina el Portal de Argentina
Portal Gay de Buenos Aires
Official Gays - Portal Gay
Buenos Gays Aires - Portal Gay de Buenos Aires
San Telmo Gay
Gay San Telmo