Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Taller de TIC aplicadas a la enseñanza
Blog de Profesor Mario Freschinaldi
//11 de Abril, 2017

Las aplicaciones de Android pueden cooperar entre sí para espiar

por mariof2005 a las 09:42, en SEGURIDAD INFORMÁTICA

Los desarrolladores pueden emplear la comunicación entre aplicaciones facilitada por el sistema operativo para obtener información privada, según un estudio


Las apps de Android están disponibles en Google Play.
Las apps de Android están disponibles en Google Play.

Un equipo de investigadores del Instituto Politécnico y Universidad Estatal de Virginia, más conocido como Virginia Tech, ha hallado miles de aplicaciones que, aunque seguras de forma independiente, pueden ser utilizadas por otras para extraer información sensible de los smartphones.

Estas parejas están formadas por dos tipos de aplicaciones: las que están programadas específicamente para lanzar ataques y las que, sin intencionalidad por parte de los programadores, permiten a las primeras extraer información y escalar en la jerarquía de privilegios del sistema operativo más usado del mundo.

El estudio evidencia una brecha de seguridad teórica de la que no se tenía evidencia real constatada con aplicaciones disponibles en la Play Store, la tienda de Google.

“Los investigadores sabemos que las aplicaciones pueden cooperar o hablar entre ellas de alguna manera”, dice Gang Wang, profesor del departamento de Ciencias de la Computación. “Lo que muestra el estudio, con hechos, es que el funcionamiento de las aplicaciones en Android, sea o no intencionado, puede comprometer la seguridad de tu teléfono”.

Para hallar evidencias de este problema de seguridad, el equipo diseñó una herramienta llamada DIALDroid para realizar un análisis masivo de intercomunicación entre aplicaciones. Se estudiaron más de 100.000 aplicaciones provenientes de la Play Store y casi 10.000 aplicaciones malware externas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación peligrosa para la privacidad del usuario.

Este fallo se da cuando una aplicación que parece inofensiva, como las que permiten cambiar los tonos de llamada o usar el flash de cámara, trabaja emparejada con una dedicada a enviar información a un servidor web con la localización del teléfono o su agenda de contactos. Curiosamente, Virgina Tech concluye que las aplicaciones con más riesgo de actuar como pasarela suelen ser las menos útiles.

“Lo que muestra el estudio, con hechos, es que el funcionamiento de las aplicaciones en Android, sea o no intencionado, puede comprometer la seguridad de tu teléfono”

“Las aplicaciones más populares no suelen estar involucradas en esta cooperación, probablemente porque han sido desarrolladas por programadores más experimentados y cautelosos”, dice Wang a EL PAÍS. “Aun así, aplicaciones como PPGpS Lite, Droid 2 CAD o Prayer Times: Azan and Qibla, que tienen entre 10.000 y 500.000 descargas, están involucradas.

Los desarrolladores pueden reducir drásticamente las posibilidades de que sus aplicaciones sean usadas para escalar permisos o extraer información mediante “prácticas de seguridad básicas”, explica el profesor. “Deben tener cuidado con los permisos al emitir información y aplicar restricciones severas al recibirlos”.

Pero Wang cree que el actor principal en esta encrucijada es Google. “Creemos que la plataforma está en la mejor posición para detectar aplicaciones sospechosas, ya que tienen la visión centralizada de todas ellas”, dice. “Además, Google puede actualizar su sistema operativo para restringir los permisos y la comunicación entre aplicaciones. Se puede hacer sin que limite la intercomunicación entre ellas”.

Aun así, Google cuenta con dos grandes problemas a la hora de hacer más seguro su sistema operativo. Por una parte, el usuario puede instalar cualquier aplicación aunque no se haya publicado en la Play Store, incluyendo software pirata con código añadido para extraer información. Por otro lado, las actualizaciones de Android dependen del fabricante y de las operadoras, por lo que muchos dispositivos son actualizados tarde o, en el peor de los casos, nunca.

La excepción son los smartphones que cuentan con Android puro, como los modelos de OnePlus o el Pixel de Google, ya que reciben actualizaciones de seguridad constantemente. O los de Samsung Electronics, el mayor fabricante de teléfonos inteligentes, que reciben una actualización de seguridad mensual en los modelos más populares que no están atados a una operadora.

"La seguridad en las aplicaciones es como el Salvaje Oeste debido a la falta de regulación", dice Wang. "Esperamos que este estudio sirva para que la industria reconsidere sus prácticas a la hora de desarrollar su software".

Palabras claves , , , , , , , , ,
Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Esta entrada no admite comentarios.
Sobre mí
FOTO

Héctor Mario Freschinaldi

Mail: enviotp@gmail.com
En AS.: JVG CA Taller TIC (su nombre y apellido)

En un mundo donde los cambios se suceden vertiginosamente, incluso los tecnológicos, es menester asimilar las nuevas tecnologías para su aplicación inmediata y a futuro.

Ver perfil

Secciones
Inicio
Contacto
Tópicos
COMUNICADO (5)
INFORMACIÓN TECNOLÓGICA (143)
NOTICIAS para el debate (59)
NOTIFICACIONES (6)
PRÁCTICAS (8)
PROGRAMAS (2)
SEGURIDAD INFORMÁTICA (97)
TEORÍA (79)
TRABAJO FINAL (3)
Nube de tags  [?]
Enlaces
Calendario
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
Más leídos
10 aplicaciones útiles para llevar a todos lados 10 en un pendrive
10 Herramientas para Profesores creativos
15 buscadores para web profunda #OSINT (15 deep web search)
150 herramientas didácticas gratuitas para crear materiales educativos con tics
Alternativas para los que no quieran seguir usando WhatsApp
Así comprime la información tu computadora
Los peligros para los menores en Internet
Tecnología educativa Política, historias, propuestas
Trabajo Práctico 002A
WORD AUTORESUMEN
FULLServices Network | Blog profesional | Privacidad