CUANDO LAS APLICACIONES DE ANDROID PIDEN MÁS DE LO QUE NECESITAN Comprender los permisos de las aplicaciones * Google ha puesto a nuestra disposición el robot de Android, que aparece en este libro electrónico según los términos de la licencia de Reconocimiento de Creative Commons. Se acaba de comprar un nuevo smartphone basado en Android... ¿y ahora qué? Pues sencillamente la parte más emocionante: descargarse las aplicaciones adecuadas para potenciar su funcionalidad. Puede que incluso quiera descargarse un juego o dos, o quizás una película o un reproductor de MP3. Android le permite personalizar su dispositivo con libertad, por lo que resulta muy atrayente para los que desean que sus smartphones sean lo más exclusivos posible. Esta libertad total para personalizar un smartphone basado en Android y la gran variedad de aplicaciones disponibles en Google Play son solo dos de los motivos por los que la popularidad del sistema operativo sigue en aumento. En un informe reciente, Canalys afirma que casi el 50% de más de 107 millones de smartphones vendidos en todo el mundo en el segundo trimestre de 2011 se basaba en Android. Según dicho informe, en Asia/Pacífico se vendieron más de 39 millones de smartphones basados en Android. Un informe de Nielsen indica además que Android fue líder tanto en cuota de mercado como en uso de datos en los Estados Unidos. Nielsen también considera que los usuarios de dispositivos basados en Android instalaron un promedio de 35 aplicaciones cada uno. LAS APLICACIONES SOLICITAN PERMISOS PARA FUNCIONAR Imagine que las aplicaciones de Android son los huéspedes de un hotel. Cada huésped obtiene una tarjeta de acceso que le permite entrar en su habitación, en el vestíbulo, en el bar y puede que en otras partes del hotel. Esta tarjeta, no obstante, no le proporciona acceso a la cocina o a la oficina del director del hotel. Como los huéspedes del hotel, cada aplicación de Android que instala en el dispositivo necesita determinados permisos o una "tarjeta de acceso" para poder funcionar. Los permisos que otorga a cada aplicación le indican los recursos disponibles del dispositivo que puede utilizar. Muchas aplicaciones necesitan más funciones que las propias de los dispositivos Android. Esto no significa, no obstante, que todas las aplicaciones que soliciten diversos permisos sean maliciosas por naturaleza. No existe una única lista de permisos para los dispositivos basados en Android. Sin embargo, todos los permisos que normalmente solicitan las aplicaciones están incluidos en el kit de desarrollo de software o SDK (en inglés, Software Development Kit) de Android para desarrolladores de aplicaciones. El sitio Web Android Developers también ofrece la denominada lista Manifest.permission, que enumera los permisos que las aplicaciones básicamente necesitan para trabajar en un dispositivo basado en Android. Solicitar permiso a los usuarios para acceder a determinadas funciones evita la propagación de aplicaciones maliciosas entre los dispositivos Android. Por este motivo, los ciberdelincuentes han recurrido a la troyanización de aplicaciones legítimas para infectar los dispositivos y realizar acciones maliciosas. Actualmente, se pueden descargar casi 250.000 aplicaciones en Google Play. El gran número de usuarios de Android es probablemente el motivo principal por el que los ciberdelincuentes consideran dichas aplicaciones como objetivos del robo de datos. GARANTIZAR DEMASIADOS PERMISOS PUEDE CAUSAR DAÑOS Las aplicaciones solicitan determinados permisos para funcionar antes incluso de su instalación. Asegúrese de leer los acuerdos de licencia de usuario final (EULA) de las aplicaciones, ya que le ayudarán a clarificar su finalidad. Las aplicaciones se basan en los permisos que usted les concede para realizar las tareas que les corresponden. Muchas aplicaciones solicitan su permiso para obtener acceso a Internet y poder descargar actualizaciones. Otras solicitan permiso para consultar el estado y la identidad de su teléfono y, de este modo, evitar que las llamadas interrumpan lo que están haciendo. Lamentablemente, las aplicaciones troyanizadas pueden manipular estos permisos para llevar a cabo acciones maliciosas, por ejemplo, grabar sus conversaciones y enviar información del dispositivo como el número de identidad internacional de equipo móvil o IMEI (en inglés, International Mobile Equipment Identity) a un centro de mando. Puede ver los permisos que ha otorgado a las aplicaciones después de su instalación. Para ello, en los teléfonos basados en Android 2.2. (Froyo), vaya a Ajustes > Aplicaciones > Administrar aplicaciones. Seleccione la aplicación cuyos permisos desea ver y desplácese por ellos para consultarlos. En agosto de 2010, detectamos el primer troyano de Android, que enviaba mensajes de texto a determinados números. La mayor parte del malware de Android con que nos hemos encontrado desde entonces realiza una o varias actividades maliciosas, como robar datos (ladrones de datos), permitir el acceso remoto (aplicaciones de puerta trasera), acceder a sitios fraudulentos (activadores de fraudes por clics), escuchar llamadas y leer mensajes de texto personales e información de contacto (espías móviles), descargar otro tipo de malware (descargadores) y obtener privilegios administrativos o de raíz (rooting o activadores de raíz). A continuación, indicamos los permisos que hasta ahora hemos comprobado que normalmente solicitan las aplicaciones troyanizadas. Comunicación por red Al activar Comunicación por red, las aplicaciones pueden acceder a dispositivos con Internet o habilitados para Bluetooth. Este permiso de Android es el que más se utiliza con fines delictivos, ya que las aplicaciones maliciosas necesitan acceso a Internet para comunicarse con los centros de mando o para descargar actualizaciones. Cuando concede este permiso a las aplicaciones, capacita a los espías móviles y los ladrones de datos para enviar la información que roban a usuarios remotos. Si deja el Bluetooth activado en su dispositivo, el futuro malware de Android podría infectarlo como el antiguo malware de Symbian OS. Servicios con coste El primer troyano de Android manipuló el permiso de envío de mensajes de texto, así como los permisos Llamadas telefónicas y Almacenamiento. Tras obtener los permisos mencionados, disponía de la autorización necesaria para enviar mensajes de texto a determinados números con recargo, lo que costó mucho dinero a los usuarios afectados, que pagaron por servicios que ni siquiera habían utilizado. En este tipo de artimaña, los ciberdelincuentes pueden pagar por determinados números con recargo para obtener un beneficio de cada mensaje de texto que envían los dispositivos basados en Android afectados. Llamadas telefónicas También hemos detectado que el malware utiliza este permiso con fines delictivos para robar registros de llamadas de dispositivos Android. El archivo de registro se guarda como archivo .TXT y se envía a un centro de mando. Los registros de llamadas son uno de los objetivos preferidos de los ladrones de datos, dado que proporcionan más información sobre los usuarios afectados. Al otorgar el permiso Llamadas telefónicas a aplicaciones maliciosas, estas pueden registrar las conversaciones y robar mensajes de texto. Esto aumenta el riesgo que corren los que utilizan sus dispositivos para realizar transacciones bancarias en línea, ya que las credenciales que se facilitan por teléfono o a través de mensajes de texto (SMS) pueden acabar en manos de ciberdelincuentes, que esperan estos datos con avidez. Herramientas del sistema El malware que hemos observado manipula permisos como los necesarios para iniciar automáticamente durante el arranque, cambiar de estado de Wi-Fi, cambiar la conectividad de red e impedir que el teléfono entre en modo inactivo. Este malware permite a los ciberdelincuentes ejecutar sus propios servicios maliciosos. Veamos un ejemplo: una aplicación de juegos no necesita iniciarse automáticamente cada vez que enciende su teléfono, por lo que no es necesario que solicite permiso para hacerlo. De hecho, esto indicaría que probablemente la verdadera intención de dicha aplicación es ejecutar un servicio malicioso de forma silenciosa en segundo plano cada vez que encienda su teléfono. Almacenamiento Cuando se concede permiso a una aplicación para modificar o eliminar el contenido de la tarjeta de datos seguros (SD), dicha aplicación puede leer, escribir y/o eliminar cualquier dato incluido en la tarjeta. Los ladrones de datos pueden manipular este permiso para almacenar una copia de la información que han robado o guardar un .TXT, un .INI o un tipo de archivo similar en su tarjeta SD antes de enviarlo a un centro de mando. Además, ofrece a la aplicación maliciosa la posibilidad de sobrescribir archivos existentes en la tarjeta SD. Su ubicación Uno de los ladrones de datos de Android más notables que hemos detectado solicitaba permiso para conocer la ubicación geográfica del usuario. Tenga en cuenta que este tipo de información se puede utilizar para cometer delitos en el mundo real, como el acoso. En la red, los datos geográficos pueden resultar útiles para enviar malware o spam de forma específica por región. La mayoría del malware de Android que hemos observado solicita como mínimo tres permisos bastante inusuales para su uso normal. Este es un buen indicador de ilegitimidad cuando se instalan aplicaciones. Le recomendamos que piense detenidamente el tipo de permisos que otorga a una aplicación antes de confirmar su uso. ANDROIDOS_SPYGOLD.A, que troyanizaba Fast Racing, por ejemplo, solicitaba diversos permisos que ese tipo de aplicación de juegos normalmente no necesitaría para poder funcionar. CÓMO EVITAR OTORGAR DEMASIADO ACCESO A LAS APLICACIONES No olvide que, dado que Android le ofrece la libertad de instalar la aplicación que desee, la responsabilidad de mantener el dispositivo exento de malware reside en sus manos. Para obtener más consejos y trucos sobre cómo mantener protegidos sus datos frente a aplicaciones maliciosas, lea nuestro libro electrónico "5 sencillos pasos para garantizar la seguridad de los smartphones basados en Android". Recuerde también estos tres consejos para evitar otorgar demasiado acceso a las aplicaciones: 1. Infórmese sobre las aplicaciones antes de descargarlas e instalarlas. Averigüe quién es el creador y lea las opiniones de otros usuarios sobre ellas y sus desarrolladores en los comentarios que se muestran en Google Play o en cualquier tienda de aplicaciones de terceros. También conviene comprobar la valoración que se muestra en la tienda de la aplicación. Sin embargo, tenga en cuenta que gran parte del malware troyaniza aplicaciones legítimas con el objetivo de que usuarios como usted las descarguen. 2. Lea detenidamente los permisos que solicita una aplicación hasta estar seguro de comprenderlos. Recuerde que la mayoría de aplicaciones troyanizadas aparentan legitimidad. Dichas aplicaciones solicitan más permisos de los que realmente necesitan. Si ha descargado e instalado un reproductor multimedia que, por ejemplo, solicita permiso para enviar mensajes de texto, piénselo de nuevo antes de aceptar los términos del acuerdo. Si bien algunas apli­ ca­ciones legítimas necesitan diversos permisos, el hecho de solicitar demasiados puede poner en grave peligro su dispositivo y sus datos. 3. Le recomendamos que invierta en un software de seguridad para móviles que proteja no solo su teléfono, sino también los datos almacenados en él. Soluciones como Trend Micro™ Mobile Security Personal Edition pueden identificar y detener el malware antes incluso de que alcance su dispositivo. Con el respaldo de las mismas tecnologías que Trend Micro™ Smart Protection Network™, esta solución protege eficazmente sus dispositivos basados en Android frente al malware más reciente. TREND MICRO Spain TREND MICRO™ Trend Micro, Incorporated es una empresa pionera en la gestión de contenidos seguros y amenazas. Fundada en 1988, Trend Micro ofrece software, hardware y servicios de seguridad galardonados tanto a usuarios individuales como a organizaciones de todos los tamaños. Con sede en Tokio y operaciones en más de 30 países, las soluciones de Trend Micro pueden adquirirse a través de distribuidores empresariales y de valor añadido así como de proveedores de servicios en todo el mundo. Para obtener más información y copias de evaluación de los productos y servicios de Trend Micro, visite nuestro sitio Web www.trendmicro.com. Pza. de las Cortes, 4 – 8 Izq. 28014 Madrid Tel.: +34 91 369 70 30 Fax: +34 91 369 70 31 www.trendmicro.com ©2011 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro, Incorporated. El resto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.