Crecen las amenazas para Android

En una presentación de la conferencia, Neil Daswani, responsable de tecnología de la firma de seguridad Dasient, mostrará una prueba de concepto de un ataque drive-by en un teléfono Android utilizando una vulnerabilidad de Webkit que lleva al navegador hasta esa plataforma. El ataque abre un canal a través del que Daswani explotará una vulnerabilidad en Skype para leer información de la aplicación y poder escuchar las conversaciones.

“Estos ataques son posibles, no solo para nosotros, sino también para los cibercriminales. Necesitamos tener un conocimiento sólido de cómo funciona todo esto, de ese modo podremos protegernos contra esos ataques”, ha explicado Daswani.

La presentación tratará sobre las recientes investigaciones realizadas por Dasient, incluyendo la creación de un prototipo de ataque y análisis de tiempo de ejecución de una muestra aleatoria de 10.000 aplicaciones de la tienda Android, que encontró que cerca del 29 por ciento de sus aplicaciones solicitan permiso para acceder a un identificador de dispositivos conocido como IMEI (international mobile equipment identity).

En un ataque de descarga drive-by, un cibercriminal convence a un usuario para que navegue hasta una página web maliciosa o infectada, que luego explota vulnerabilidades en el navegador o en plugins asociados para insertar código en el dispositivo. Mientras que, por ahora, este tipo de descargas no son habituales en dispositivos móviles, es un vector que los atacantes ya están investigando.

Malware reciente dirigido a Android, como DroidDream, DDLite o Plankton, ha mostrado que los cibercriminales se están centrando en buscar modos de atacar a esta plataforma para conseguir beneficio propio. Además, un estudio sobre una selección aleatoria de 10.000 aplicaciones de Android Marketplace descubrió que cerca de 800 enviaron un identificador de dispositivos a servidores remotos de Internet. La compañía utilizó análisis de comportamiento en lugar de análisis de código estático para determinar qué acciones tomaba cada una de las aplicaciones los 30 segundos posteriores a su instalación.

Cerca del 30 por ciento de estas aplicaciones solicitaron acceso tanto al ID del dispositivo (IMEI), como al ID del suscriptor (IMSI) y un cuarto de ellas envió el IMEI, mientras que el 2 por ciento filtró el IMSI. En la mayoría de los casos, Dasient determinó que la fuga no era maliciosa, sino que la causó el desarrollador de la aplicación utilizando un marco de trabajo que enviaba el identificador por defecto. En cualquier caso, la intención del desarrollador no quedaba del todo clara.

“No podría decir si eran blancos o negros, más bien diría que eran grises. Algunos de los programas podrían clasificarse como spyware, pero la mayor parte de los desarrolladores simplemente no son cuidadosos con el modo en que manejan los números IMEI”.

Una medida que podría evitar a los usuarios caer en las redes de un programa malicioso es el número de procesos creados por la aplicación. En su análisis, Dasient descubrió que el promedio de las aplicaciones Android crean una media de 58 procesos, mientras que el promedio de DroidDream es de 660 procesos.