ES
Línea directa de servicio
Los desarrolladores podrían colar molestos anuncios emergentes o ataques de phishing en aplicaciones móviles a través de fallas de diseño en Android, según los investigadores.
Los investigadores han descubierto lo que dicen es una falla de diseño en Android que podría ser utilizada por delincuentes para robar datos a través de phishing o por anunciantes para llevar molestos anuncios emergentes a los teléfonos.
Los desarrolladores pueden crear aplicaciones que parecen ser inocuas pero que pueden mostrar una página de inicio de sesión de aplicación bancaria falsa, por ejemplo, cuando el usuario está usando la aplicación bancaria legítima, dijo Nicholas Percoco, vicepresidente senior y jefe de SpiderLabs en Trustwave, antes de su presentación sobre la investigación en la conferencia de hackers DefCon hoy.
Actualmente, las aplicaciones que desean comunicarse con el usuario mientras se está viendo una aplicación diferente simplemente envían una alerta a la barra de notificaciones en la parte superior de la pantalla. Pero hay una interfaz de programación de aplicaciones en el Kit de Desarrollo de Software de Android que se puede usar para impulsar una aplicación en particular al primer plano, dijo.
«Android le permite anular el estándar para (presionar) los botones de retroceso», dijo Sean Schulte, desarrollador SSL (Secure Sockets Layer) en Trustwave.
«Debido a eso, la aplicación puede robar el enfoque y no puedes presionar el botón Atrás para salir», dijo Percoco, y agregó que han llamado al problema la vulnerabilidad de robo de enfoque.
Los investigadores han creado una herramienta de prueba de concepto que es un juego, pero también activa pantallas falsas para Facebook, Amazon, Google Voice y el cliente de correo electrónico de Google. La herramienta se instala como parte de una carga útil dentro de una aplicación legítima y se registra como un servicio para que vuelva a aparecer después de que el teléfono se reinicie, dijo Percoco.
En una demostración que muestra a un usuario abriendo la aplicación y viendo la pantalla de inicio de sesión para Facebook, la única indicación de que algo extraño ha sucedido es un parpadeo de pantalla tan rápido que muchos usuarios no lo notarían. La pantalla falsa reemplaza completamente a la legítima, por lo que un usuario no podría decir que algo está fuera de lugar.
Con este defecto de diseño, los desarrolladores de juegos o aplicaciones pueden crear anuncios emergentes dirigidos, dijo Percoco. Los anuncios podrían ser simplemente molestos, como la mayoría de las ventanas emergentes, pero también podrían estar dirigidos a mostrar un anuncio emergente cuando se utiliza la aplicación de un competidor, agregó.
«Así que todo el mundo de los anuncios luchando entre sí en la pantalla es posible ahora», dijo Percoco, quien junto con Christian Papathanasiou, demostró un rootkit de Android en DefCon el año pasado.
La funcionalidad no levantaría ninguna bandera roja en los permisos que se muestran cuando el usuario descarga la aplicación porque es una función legítima para que las aplicaciones verifiquen el estado del teléfono en lo que se llama el Servicio de Actividad, según Schulte.
Percoco dijo que los investigadores hablaron con alguien en Google sobre sus hallazgos hace unas semanas y que el individuo reconoció que había un problema y dijo que la compañía estaba tratando de descubrir cómo abordarlo sin romper ninguna funcionalidad de las aplicaciones legítimas que puedan estar usándolo.
Cuando fue contactado para hacer comentarios, un representante de Google dijo que investigaría el asunto.
Actualización 8 de Agosto de 2011 a las 3:50 pm PT Un portavoz de Google proporcionó esta declaración: «Cambiar entre aplicaciones es una capacidad deseada utilizada por muchas aplicaciones para fomentar una rica interacción entre aplicaciones. No hemos visto ninguna aplicación que use maliciosamente esta técnica en Android Market y eliminaremos cualquier aplicación que lo haga».
El portavoz de Google también dirigió a CNET al AppLock de Visidon como un ejemplo de cómo se usa esa funcionalidad. La aplicación utiliza tecnología de reconocimiento facial para evitar el acceso no autorizado a partes de su teléfono, como su aplicación Gmail. El uso legítimo de la funcionalidad descrita en la vulnerabilidad de este ejemplo deslizaría la interfaz de solicitud de contraseña de AppLock sobre la de Gmail cuando la toque. Dado que AppLock usa su cara como contraseña, se deslizaría, permitiría que su cara sea reconocida como la contraseña aprobada y luego se deslizaría.
Actualización 8 de Agosto de 2011 a las 7:40 pm PT La respuesta de Percoco a la declaración de Google: «El cambio de aplicaciones no es el problema. El verdadero problema es la capacidad de otras aplicaciones para identificar qué aplicación está en primer plano y luego decidir saltar delante de esa aplicación en ejecución sin que el usuario le dé permiso para hacerlo. Tampoco vemos cómo podrían determinar la diferencia entre una aplicación maliciosa o una legítima, ya que ambas se verían casi idénticas hasta que un usuario las informe como maliciosas. La postura de ‘esperar hasta que una aplicación sea reportada como mala antes de eliminarla’ es peligrosa y probablemente resultará ser un esfuerzo infructuoso, ya que los atacantes podrían publicar aplicaciones mucho más rápido de lo que Google podría identificar y eliminarlas del mercado».
Seth Rosenblatt de CNET contribuyó a este informe.
Fuente: https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
