Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Modelo de seguridad Android permite difusión de malware móvil

Enfoque en malware móvil en el modelo de seguridad Android y en la aplicación móvil de Google del proceso de investigación de antecedentes.

NUEVA YORK – El malware en plataformas móviles es una realidad, y los atacantes lo están usando para robar información empresarial confidencial almacenada en smartphones. Pero no dejes que nadie te confunda diciéndote que los hackers trabajan muy duro para encontrar vías de explotar las vulnerabilidades de los dispositivos móviles de última generación. Investigadores como Dan Guido han logrado dibujar un mapa bastante nítido del escenario de aplicación del malware, y lo aterrador es que resulta mucho más sencillo de lo que la gente imagina; el malware móvil se apoya, en gran parte, en el modelo de seguridad para Android creado por Google.

Ahí afuera hay unos 300 millones de dispositivos Android y la mayoría de ellos jamás han actualizado la versión en la que están hoy... La vulnerabilidad es casi ilimitada.

Dan Guido, cofundador y presidente ejecutivo de Trail of Bits.

 

Guido, cofundador y presidente ejecutivo de la firma de análisis Trail of Bits, presentó datos el pasado martes en Information Security Decisions 2012 con los que sugiere que los intrusos emplean un número limitado de exploits o vías para atacar teléfonos móviles, en particular los que emplean plataformas Android. Lo hacen a través de aplicaciones maliciosas que están teniendo un gran éxito en las app stores debido a la debilidad de los procesos de validación y procedimientos de firma de código.

“No descubrimos ningún malware en la App Store de iOS [Apple], pero sí más de 30 en docenas de aplicaciones de Google Marketplace, con un impacto potencial sobre cientos de miles de usuarios,” dice Guido.

Los atacantes buscan escalar privilegios en los dispositivos móviles para poder así filtrar datos a un servidor bajo su control. Desde un punto de vista puramente económico, el costo para al atacante tiene que ser menor que el beneficio potencial que puede obtener. Entre los factores que inciden en los costos del ataque para un hacker están la facilidad de penetración en el dispositivo y la probabilidad de ser capturado, así como el valor de los datos robados y su potencial de monetización.

La mejor defensa, señala Guido, consiste en lograr que a los atacantes les cueste más entrar en los dispositivos. Apple ha instalado importantes barreras y bloqueos para frenar el robo de códigos, dice. Por ejemplo, firma todos los programas que enviados a su App Store y asigna a cada aplicación un ID y un directorio específicos. Además, su sandbox Seatbealt impone restricciones en las aplicaciones a la hora de acceder a la información de otras aplicaciones, reduciendo así la superficie potencial de ataque al núcleo del iOS, explica Guido.

El modelo de seguridad de Android minimiza los costos para los atacantes, según Guido. En lugar de la firma de código, Android utiliza el bit No-eXecute o NX, lo que reduce las áreas del sistema operativo autorizadas para la ejecución del código. Guido dice que esto es menos efectivo que la firma de código en la que se basa Apple. Además, esta compañía parchea las vulnerabilidades que permiten el jailbreak mucho más rápidamente que Google con Android, lo que significa que los exploits de Android permanecen vigentes mucho más tiempo.

“Ahí afuera hay unos 300 millones de dispositivos Android y la mayoría de ellos jamás han actualizado la versión en la que están hoy,” dice Guido, y añade que la primera generación de dispositivos de Android no podrá actualizarse a la nueva versión 4.0 por las limitaciones de hardware. “La vulnerabilidad es casi ilimitada.”

Guido dice que los ataques a los dispositivos móviles no se producen por medio de los navegadores, ni por vía gíreles, ni de aplicación a aplicación. “Todo es Android, y todo son jailbreaks,” afirma.

Por su parte los ataques de malware, como Android DroidDream, siguen un patrón similar. Se utiliza una vulnerabilidad pública para desarrollar el malware, que luego se inyecta en la aplicación móvil. La aplicación se sube a Internet, normalmente a una tienda de aplicaciones, y el atacante empieza a captar víctimas por medio de ingeniería social con mensajes de texto o emails para inducirles a descargar la aplicación maliciosa. Una vez instalada, la manipulación realizada con el jailbreak permite escalar los privilegios del atacante, quien puede entonces establecer contacto con un servidor de comando y control y enviar allí la información sustraída para su venta o abuso de diversas maneras. “Este es el proceso sistémico que siguen todas las invasiones porque, de otro modo, no pueden ganar dinero al otro lado,” explica Guido. “Si eres capaz de romperlo en cualquier punto de la cadena, el ataque no tendrá éxito.”

Los ataques por medio de aplicaciones móviles para Android son el vehículo elegido a consecuencia de la débil seguridad que rodea el proceso de envío de aplicaciones, dice Guido. El problema empieza desde el primer momento. Tanto si se trata de la Consola de Desarrollo Android de Google Play o la App Store de iOS, los desarrolladores se registran con una tarjeta de crédito. En Google Play, tu número de tarjeta de crédito es tu ID, mientras que Apple requiere el número de tu permiso de conducir o los estatutos de la empresa. Ambas plataformas efectúan revisiones estáticas del código de las aplicaciones, pero el principal factor diferenciador es que Apple no permite realizar modificaciones del tiempo de ejecución de una aplicación. Lo que se envía a la App Store es lo que debe ofrecerse allí. Por su parte, Google sí permite alterar el código para modificar los tiempos de ejecución. El atacante puede introducir una aplicación maliciosa a través de Google Play mucho más fácilmente que a través de iOS porque tiene la posibilidad de cambiar la aplicación una vez que está en el mercado. Este proceso es difícil de replicar en la App Store de Apple; hay muchas probabilidades de que las aplicaciones maliciosas sean detectadas por la firma de código que se exige en el proceso de control de seguridad.

“Se necesitaría un ID nuevo cada vez y esto eleva los costos para el atacante,” dice Guido. “[Con Android] puedes robar cientos de números de tarjetas de crédito y enviar aplicaciones que pueden ser modificadas después de su presentación. El control de la seguridad es mucho menos efectivo y no hay repercusiones. Puedes seguir con el proceso hasta que te sale bien.”

“En resumen, hay muy pocas vías de ataque a móviles activas y las que existen apuntan sólo a una plataforma; es un puro análisis de rentabilidad económica.”

“Existe una desconexión entre aquello de lo que platica la industria de la seguridad y lo que platica la comunidad de productos,” dice Guido. “Se mira demasiado a las posibilidades y no lo suficiente a las amenazas [reales].”

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close