Seguridad en dispositivos móviles (1)

Hace algunas semanas el equipo de Bluebox hizo pública una vulnerabilidad en la verificación de las firmas que permite falsear la autenticidad de una aplicación Android. Cuando instalamos una aplicación, a no ser que hayamos modificado manualmente las preferencias de verificación de aplicaciones, Android comprueba que las aplicaciones hayan sido firmadas digitalmente por una entidad de confianza y en esto basa su sistema de seguridad.

Lo que supone esta vulnerabilidad, conocida como ‘Fake ID’ y que afecta a terminales con Android desde su versión 2.1 a la versión 4.3 (Google solucionó el problema en Kit Kat, Android 4.4), es que se puede coger una aplicación legítima, cuyo funcionamiento requiera, por ejemplo, tener acceso a los servicios de ĺocalización, añadirle código malintencionado que provoque el envío de esta información al atacante y que todo esto sea transparente para el usuario. Pueden ver los detalles técnicos en cualquiera de los enlaces o en multitud de información presente en Internet.

Veamos un ejemplo. Consideremos por ejemplo que un usuario tiene dos cuentas del banco: una de ahorro y otra para el pago online con tarjeta. Asumamos que todas las operaciones bancarias las realiza desde un ordenador del que tiene la certeza que está limpio de cualquier tipo de malware, que utiliza contraseñas robustas y que no se conecta a ninguna red wifi en la cual no tenga una confianza absoluta.

Pero llega un día en el que quiere instalarse una aplicación que, por ejemplo, ‘mejora el rendimiento de la batería’ (muy típico en smartphones). Supongamos que esa aplicación es de pago, pero por tacañeria, el usuario prefiere descargarla de un blog que la ofrece ¡GRATIS! y la instala sin más.

Hasta aquí todo bien. Vamos a alejarnos de la situación y veamos qué puede haber sucedido, sin entrar en los detalles técnicos.

Un tercero malintencionado ha creado un clon de una aplicación muy popular que además de simular que mejora el rendimiento, captura credenciales de acceso aprovechando la vulnerabilidad ‘Fake ID’. Al instalar la aplicación, pese a tener activadas todas las opciones de seguridad, ésta se instala como si se tratase de la original. Dado que la firma asociada a la misma ha sido falsificada, a ojos del Sistema Operativo todas las comprobaciones de seguridad son correctas.

Llegados a este punto lo mejor que nos puede pasar es que seamos famosos y el atacante solo esté interesado en publicar nuestras fotos, pero como probablemente no sea el caso, quizá el atacante esté más interesado en conseguir nuestras credenciales bancarias para venderlas al mejor postor u obtener ingresos directamente (aunque no es lo más común). En cualquier caso, hemos dicho que nuestro usuario tiene más o menos controlado su dinero por lo que quizá este punto no sea el más relevante. ¿Qué más podría pasar?

El atacante obtiene las rutinas de movimientos de cada uno de los infectados, ya sea mediante la recuperación de datos directamente del teléfono o directamente consultando a google la ubicación del dispositivo en tiempo real (https://www.google.com/android/devicemanager). Con esto, un poquito de aquí y un poquito de allá, genera una base de datos y la vende a unos educados amigos de lo ajeno para que puedan acceder a la residencia de nuestro afectado sin molestarle a la hora de la comida

Seguro que a más de un lector se le ocurren otras maldades que hacerle a nuestro tacaño usuario. Dejamos eso como ejercicio de creatividad.

La cuestión es que a nadie se le escapa que los smartphones se están convirtiendo en el ‘centro neurálgico’ de la información de un sector muy significativo de la sociedad; ya sea a través de las aplicaciones de acceso a los bancos o la tecnología NFC para el pago mediante el teléfono móvil. Dejando de lado las redes sociales, contactos personales y profesionales, correo electrónico, etc. Tampoco es noticia decir que los antivirus para smartphones son (en general) más útiles vaciando baterías y reduciendo el rendimiento del terminal que protegiendo los datos.

Entonces, ¿de qué nos sirve tener el ordenador (que cada vez utilizamos menos) protegido tras un muro de hormigón si luego nuestras credenciales van a estar duplicadas en nuestros teléfonos móviles con una protección significativamente menor? Es más, ¿saben que la vulnerabilidad ‘Fake ID’ llevaba dando vueltas desde Android 2.1, allá por el 2010? ¿Está evolucionando la seguridad en smartphones a la misma velocidad que su implantación y la importancia de la información que manejan? Se abren las apuestas.

En la próxima entrada veremos la detección y control de fugas de información de nuestros dispositivos móviles.