Una vez más, los archivos maliciosos han llegado al Android Market, con un conjunto de aplicaciones secuestradas, ingeniería inversa con código malicioso inyectado y publicado junto con las aplicaciones legítimas.
Dos cosas deben mencionarse por adelantado: Google ya ha eliminado las aplicaciones del mercado, y esta vez solo afectaron a los usuarios en China, donde también se originan. Si está leyendo esta historia, probablemente esté seguro y nunca estuvo en riesgo. Pero esto sigue siendo una gran preocupación. Un grupo de chicos malos (esa es mi versión segura para el trabajo) pudieron descompilar aplicaciones de un desarrollador legítimo, colocar un código que envía mensajes SMS a un servicio de suscripción chino y luego tomaron algunas medidas realmente ingeniosas para mantener todo oculto al usuario. Eso va a suceder, porque todo lo que sea electrónico y lo suficientemente popular es un objetivo. La parte preocupante es que estos están llegando al Android Market.
Permítame tener unos cientos de palabras con usted al respecto, después del descanso.
Fuente: AegisLabs a través de Sophos; Gracias, Tony Bag o 'Donuts!
Estoy desgarrado Como usuario y a nivel personal, digo que deje todo abierto y obligue a los usuarios a ser diligentes y solo instalen aplicaciones en las que confíen, independientemente de su procedencia. Aprenda cuáles son los permisos y por qué una aplicación puede o no necesitarlos (es decir, Adobe Reader). Pero como blogger y (con suerte) respetada autoridad de Android, tengo la responsabilidad de que nuestros lectores quieran lo mejor para ellos. Son ustedes chicos. Muchos de ustedes son autoridades respetadas de Android por derecho propio, y no tienen problemas para discernir qué es seguro y qué no. Muchos otros no lo son, y dependen de Android Central y otros recursos de Internet para ofrecer buenos consejos sobre cómo mantenerse a salvo. Esto me deja en apuros.
Mientras leía las diversas publicaciones de seguridad sobre esta, me encontré con una idea realmente interesante de Vanja Svajcer en Sophos. Su idea es simple y fácil de implementar: lo que necesitamos son dos conjuntos de claves de firma. Las aplicaciones que desean o necesitan hacer cosas como enviar mensajes SMS o jugar con su lista de contactos deben usar un conjunto de claves verificadas vinculadas a una cuenta de desarrollador legítima que ha sido aprobada por Google. Deje que las aplicaciones y los temas de pedos sigan utilizando las claves generadas por el usuario; no obligue a los desarrolladores de pasatiempos a saltar a través de los obstáculos para las personas en Mountain View si no van a hacer algo que pueda crear un posible problema de seguridad. Pero en el momento en que una aplicación quiera acceder a su directorio telefónico o usar su GMail authToken, verifique la clave de firma y verifíquela. Mantenga a los usuarios seguros y se mantendrán felices. Los usuarios felices compran más aplicaciones y más productos de Android. Ciencia espacial no lo es. Vanja golpeó el clavo directamente en la cabeza con este, ¿qué dices, Google?
De todos modos, este se acabó. Si tiene curiosidad, aquí hay una lista de las aplicaciones afectadas. Tenga en cuenta que todos se eliminaron rápidamente del mercado y solo afectaron a los usuarios con una ubicación y un número de teléfono chinos.
- yo reservo
- iCartoon
- LoveBaby
- 3D Cube horror terrible
- Bola de mar
- iCalendar
- iMatch
- Shake Break
- ShakeBanger
- yo mismo
- iGuide
Vigilaremos las cosas y le haremos saber la próxima vez que suceda. Y habrá una próxima vez: la compensación por poder tener aplicaciones increíbles como Handcent es tener aplicaciones que usan las mismas funciones y apertura para cosas que preferiríamos que no tuvieran. En este punto, voy a tener que sugerir dos cosas:
- Use un escáner de "virus". Sí, sé que no hay virus para Android, pero los nombres se atascan. Todos los problemas de seguridad hasta ahora han requerido que el usuario final quiera instalarlos. No se infectará con nada solo con usar su teléfono. Hay varios en el mercado para elegir. Todos funcionan, así que verifique las características de cada uno y haga una elección. Entonces, alégrate de que les hagamos el trabajo sucio.
- No instales ninguna aplicación que no deberías ser. Sí, es tentador y lo hicimos bastante fácil con Sideload Wonder Machine (¡pero esa no fue mi intención!). Los bloggers de seguridad no solo están echando humo cuando te advierten sobre esto. Si es capaz, acceda a uno de esos foros de aplicaciones piratas y descargue un puñado, luego realice ingeniería inversa y compárelos con las versiones oficiales. Si no eres capaz, solo confía en nosotros. Alrededor de la mitad de ellos tienen algunas diferencias serias en el código. Quédese con las aplicaciones en las que confía. O quédese en el mercado: si se queda atascado con un troyano, Google lo reparará. Los desarrolladores no solo merecen los pocos dólares que están pidiendo por su arduo trabajo, sino que al final estarás más seguro.
