• Tweet

Prueba de concepto de código liberado por un investigador de seguridad podría ser ajustada para su uso en casi cualquier dispositivo. Demuestra la necesidad de precaución con las aplicaciones móviles.

Un investigador demuestra algunas de las debilidades en los dispositivos móviles y se ha elegido como destino a Blackberrys con una nueva prueba de concepto de código que podría utilizarse para escuchar conversaciones, ver mensajes y los usuarios de el dispositivo.

Tyler Shields, un investigador senior de seguridad proveedor de pruebas de aplicación, VeraCode, demostró su código en la conferencia de hackers Shmoocon fin de semana pasado en Washington, DC. La aplicación maliciosa no es sigilosa y no plantea una amenaza importante para los usuarios por ahora. Puede ver los contactos y mensajes, escuchar conversaciones y seguimiento de la ubicación del dispositivo utilizando el sistema GPS.

Shields y Chris Eng, director senior de VeraCode de investigación de seguridad dijo que el proyecto es puramente educativo. Se demuestra que un atacante inteligente podría desarrollar una aplicación maliciosa y si pasa el chequeo de los procesos de un almacén de aplicación, podría encontrar su camino en los dispositivos del usuario.

Eng escribió en el blog de investigación VeraCode:

Nuestro objetivo era demostrar cómo las aplicaciones de BlackBerry pueden acceder y permitir la fuga de información confidencial, sólo con RIM-proporcionan API y no engaña ni hace exploits de ningun tipo. No hacemos suposiciones acerca de cómo la aplicación maliciosa puede ser instalada en el teléfono, y no hemos intentado colar una aplicación maliciosa en el BlackBerry App.

Llamado txsBBSpy, el código podría ser incorporado en lo que parece ser una aplicación inocua. Una vez descargado en un dispositivo la aplicación de forma silenciosa podría robar los datos, que podrían ser vendidos en el mercado negro. Las aplicaciones que utilizan los datos almacenados en un dispositivo de telefonía móvil están obligadas a pedir permiso, de acuerdo con la mayoría de los términos fabricante del sistema operativo y las condiciones. VeraCode también publicó un video de demostración de la aplicación Blackberry spyware.

Además, los fabricantes de sistema operativo, Apple, Symbian, Google Android y Research in Motion típicamente prueban aplicaciones para los problemas de estabilidad antes de hacerlos disponibles para su descarga. Eng dijo que el proceso plantea un falso sentido de seguridad para los usuarios porque las aplicaciones rara vez se someten a pruebas de seguridad.

Políticas más estrictas de TI restringiendo a los usuarios de la descarga de aplicaciones podría reducir considerablemente el riesgo, pero según Shields, la mayoría de las empresas tienen un "permitir todo". Las empresas también pueden reducir el riesgo mediante la investigación de aplicaciones de sí mismos y luego la creación de una lista aprobada de las solicitudes de los usuarios finales, dijo.

Una serie de aplicaciones de software espía se venden en línea. FlexiSpy debe descargarse manualmente en un dispositivo, pero una vez instalado, puede escuchar las conversaciones, de registro de SMS y mensajes de correo electrónico y el seguimiento de un usuario.

En diciembre, Google eliminó decenas de aplicaciones sospechosas que tenía potencial para robar datos bancarios de los usuarios, desde su tienda en línea Android Market . Varios bancos y cooperativas de crédito advirtieron a los clientes de la posibilidad de fraude utilizando las aplicaciones. Las aplicaciones utilizan los nombres de los bancos sin el permiso y muchos expertos en seguridad dijeron que podría haber sido utilizada en un esquema de phishing, aunque no hubo informes de fraude.