Decir que Android es la plataforma móvil con mayor cuota de mercado no es decir algo nuevo; de hecho, que sea la plataforma móvil más utilizada también la hace "objetivo primario" de todos aquellos que buscan aprovechar vulnerabilidades en beneficio propio o de terceros. En el día de hoy se ha hablado mucho sobre una nueva vulnerabilidad de Android que ha hecho saltar alguna que otra alarma porque se ha catalogado como crítica y, por ahora, sin parche que la solvente por ahora.
A mayor cuota de mercado, mayores son los esfuerzos en busca de agujeros de seguridad y mayor es también el malware circulante; un contexto al que tenemos que sumar los laxos controles de Google sobre las aplicaciones de Google Play y al que también debemos sumar la falta de concienciación de los usuarios a la hora de instalar aplicaciones en sus dispositivos.
Verificar qué permisos requieren las apps que instalamos es fundamental si queremos evitar el malware.
Sobre este contexto, varios investigadores de seguridad de la Universidad de Indiana y de Microsoft Research han puesto sobre la mesa una vulnerabilidad de Android en la que, realmente, sería muy fácil caer. ¿En qué consiste esta vulnerabilidad? El agujero de seguridad que estos investigadores han desvelado es bastante curioso; si bien estamos acostumbrados a aplicaciones que esconden malware y que suelen delatarse por pedir "permisos excesivos", este ataque avanzaría de una forma algo más lenta. En vez de pedirnos unos permisos excesivos al inicio, la aplicación solicitaría permisos acordes a la funcionalidad que ofrece y, de esta forma, conseguir una base importante de usuarios. Tras conseguir una implantación suficiente, la aplicación elevaría los permisos necesarios en próximas actualizaciones; un detalle que pasaría inadvertido para los usuarios que, en su mayoría, aceptarían los privilegios adicionales sin plantearse ninguna pregunta.
Los investigadores han puesto en conocimiento de Google este hecho y parece que Google desarrollará un parche para evitar que las aplicaciones puedan "pedir permisos adicionales" a la hora de actualizarse. Quizás pueda parecer un escenario complicado; sin embargo, el proceso de actualización de una aplicación es tan corriente que, para buena parte de los usuarios, se convierte en un proceso automático en el que pulsan "Aceptar" para todo lo que muestra el terminal.
¿A qué riesgos nos enfrentamos si alguien explotase esta vulnerabilidad? Imaginemos una aplicación de Google Play que, aparentemente, es inofensiva y pide unos permisos muy simples. La aplicación va ganando usuarios con el tiempo y, cuando consigue una masa importante de usuarios, lanza una actualización. La aplicación, al actualizarse, requiere mayores privilegios en el sistema y no informa de ello; sin embargo, el usuario acepta la actualización y la instala. ¿Resultado? La aplicación gana privilegios y podría acceder a datos sensibles de nuestro dispositivo (mensajes, llamadas realizadas...), podría eliminar aplicaciones o, incluso, implantar un proxy para nuestra navegación.
¿Es un problema la seguridad de Android?
Cuando saltan este tipo de estudios e investigaciones se habla mucho de la seguridad en Android. Evidentemente, ecosistemas como iOS no presentan estos problemas porque son ecosistemas controlados (salvo que recurramos al Jailbreak y, entonces, tengamos que confiar en terceros que no han sido auditados); sin embargo, Android es una plataforma tan abierta, y tan ágil en lo que se refiere a la publicación de aplicaciones, que puede ser aprovechada por terceros con no muy buenas intenciones.
¿Hay malware en Google Play? Claro que hay malware en Google Play pero sabiendo esta información, el usuario debe tomar parte activa en la mejora de su seguridad. El usuario es el mejor antivirus para Android que existe; antes de instalar una aplicación deberíamos pensarnos las cosas dos veces y tomar en consideración algunos detalles:
- Revisar el origen de la aplicación a instalar, es decir, mirar quién ha publicado la aplicación y qué otras aplicaciones distribuye en Google Play. Evidentemente, no deberíamos instalar aplicaciones de orígenes desconocidos en nuestro dispositivo y, mucho menos, paquetes apk si no sabemos bien de dónde proceden.
- Revisar la puntuación y comentarios de la aplicación en Google Play, por tanto, revisar qué dicen otros usuarios sobre la aplicación y su funcionamiento.
- Revisar los permisos que solicita la aplicación, quizás el control más importante de todos los que deberíamos aplicar antes de instalar aplicaciones en nuestros dispositivos. Debemos leer qué permisos solicitan las apps y evaluar si el acceso que requieren es acorde a la funcionalidad que ofrece la aplicación.