IOS, Android y Windows Phone: Victimas de una misma vulnerabilidad
En la actualidad nuestros smartphones no son solo nuestras herramientas de comunicación, en ellos almacenamos información personal de todo tipo, fotos privadas, nuestra agenda diaria e incluso datos acerca de nuestras finanzas. Varias veces se ha mencionado que nuestros smartphones no son impenetrables y que son susceptibles a ataques informáticos que podrían significar una seria amenaza hacia nuestra privacidad. Pero ¿Qué pasa cuando las tres principales plataformas móviles de la actualidad: IOS, Android y Windows Phone, son víctimas de una misma vulnerabilidad que le permitiría a un tercero de adueñarse de la información personal que se encuentre almacenada en nuestro smartphone?
¿En qué consiste el problema?
Recientemente investigadores de la Universidad de California junto a investigadores de la Universidad de Michigan han descubierto una vulnerabilidad, que ellos creen, se encuentra en las tres principales plataformas móviles del momento, IOS, Android y Windows Phone. Aunque ellos solo han hecho pruebas con equipos corriendo Android, creen que dicha vulnerabilidad afecta a IOS y Windows Phone por igual ya que todas comparten una característica en común: todas las aplicaciones pueden acceder a la memoria compartida del dispositivo.
Para que el ataque se lleve a cabo el usuario debe de instalar una aplicación aparentemente inofensiva, por ejemplo un wallpaper cuentan los investigadores, pero en realidad dicha aplicación contiene el código malicioso necesario para llevar acabo el ataque. Una vez instalada, la aplicación puede ser usada para acceder a la información de la memoria compartida de cualquier proceso en el equipo, ya que no se requiere ningún tipo de permiso especial para ejecutar esa acción. De esta manera se puede monitorear cualquier cambio dentro de la memoria compartida del dispositivo para así poder perpetrar el ataque. Los investigadores fueron capaces de detectar, en tiempo real, el momento cuando el usuario se encuentra ingresando su información de acceso a alguna de sus aplicaciones bancarias o de correo electrónico y hacer que la aplicación maliciosa sustituya a la original y la información de acceso sea ingresada en ella.
Los resultados de las investigaciones
El asunto es de lo más alarmante, los investigadores hicieron pruebas extensas en siete aplicaciones, donde la aplicación de Gmail resulto ser la más fácil de vulnerar con una tasa de éxito que oscila desde un 82% hasta un 92%, en estas pruebas los investigadores encontraron que la aplicación de Amazon mostró un alto grado de resistencia a ser vulnerada resultando con solo un 48% de éxito usando este método. El investigador Zhiyun Qian aconseja que para disminuir la posibilidad de ser victimas de un ataque de este tipo, los usuarios deben de abstenerse de instalar aplicaciones de fuentes poco confiables, pues no hay ninguna garantía de que dicha aplicación no hubiera sido ya intervenida para poder hacer daño.
El tema de la seguridad y la privacidad personal cada vez se vuelve un tema más delicado y como siempre recomendamos solo descargar aplicaciones desde fuentes seguras como lo son la Play Store o la Amazon App Store, usando solo estas fuentes podemos prevenir el ser victima de esta vulnerabilidad y poner en serio riesgo la integridad y privacidad de nuestra información personal o financiera. Siempre debemos de recordar que el sentido común es uno de nuestros mejores métodos de seguridad sobre cualquier otra medida o aplicación que usemos en nuestro smartphone.
El equipo de investigadores que descubrió esta vulnerabilidad ha presentado toda la información detallada en un documento llamado, en inglés, “Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks“, dentro del marco de la USENIX Security Simposium ,simposio donde especialistas en seguridad informática se dan cita, y se llevó acabo el día 23 de agosto en San Diego California. Mas abajo podrán ver unos vídeos que ilustran la forma en como los investigadores condujeron algunas pruebas para ver la manera en como funcionan los ataques.
Via – CNET
Pues pese a quien le pese BB10 es el mejor OS móvil, tanto en seguridad, como diseño, fluidez e interfaz/experiencia de usuario, a mi parecer su única limitante es el número de apss, he probado Android 4.4, iOS 7.1 y Windows Phone 8 todos tienen sus puntos fuertes y flacos pero el mejor sin duda es BB10 en más de un aspecto, lástima que la estrategia de BB llegó algo tarde y la mayoría de personas que no sabe se ha quedado con la mala impresión de BB7 y anteriores :(
Los más seguros son symbian, windows mobile y palm os, web os, tal vez hasta firefox os.
Y lo son porque a nadie le interesa ya afectar estos móviles. Prácticamente eso también le pasa a un blackberry.
Pues de hecho eso es bastante discutible, porque a pesar de que la cuota de mercado de Blackberry actualmente es muy inferior a la de Android o iOS digamos como ejemplo un 0.3% de mercado total es pequeño porcentaje lo componen personas de negocios como CEO de empresas internacionales, políticos, etc… lo que la mayoría consideraría gente importante por los puestos que tienen no por su fama (aquí excluyo a los llamados “famosos” que la mayoria usa iPhone) para dar un ejemplo rápido y conocido Barack Obama y Angela Merkel utilizan BB… por lo tanto considero a personas como ESAS un punto mucho más deseable para los hackers y crackers que un@ famosill@ al cual le quieren sacar sus fotos desnud@ de su celular… Ese 0.3% de mercado es mucho más relevante que el 99% que tienen Android, iOS y WP juntos, eso de que “a nadie leinteresa afectar esos móviles” es una opinión bastante sesgada.
Hola, no estoy de acuerdo con tu punto, las personas con ese perfil no resultan más relevantes para hackers que los usuarios comunes de android/iOS por la sencilla razón de que es más probable que su información bancaria o datos sensibles estén más protegidos que los de una persona común (Independientemente de la plataforma), con mecanismos como encriptación, autentificación en dos pasos, servicios de alertamiento, conexiones seguras, etc. todos disponibles para todas las plataformas y que es ofrecida por instituciones bancarias o por la empresa para la que son ejecutivos. Esto reduce la probabilidad de un ataque satisfactorio sobre un grupo de personas ya de por si solo reducido, haciendo aún menos probable que alguien quiera hacer un ataque vía apps maliciosas o vulnerabilidades en equipos móviles.
Cuando hacen aplicaciones maliciosas para Android y iOS es cierto que puede ser que el usuario no tenga el poder o el dinero quede algunos usuarios de Blackberry, pero es muy probable que logren hacer el ataque sobre una mayor cantidad de personas por falta de mecanismos de seguridad, y porque su información no está tan vigilada y esto representa una alta probabilidad de lograr ataques y mucho menos riesgo.
Esto aplica para cuando hacen ataques genéricos como los que hacen con Android y iOS. Cuando alguien quiere atacar a personas con ese perfil (empresarios, políticos, etc.) ya son casos de espionaje o casos donde el objetivo es muy definido y el ataque es tan personalizado a la víctima que no aplica a alguien más, porque en estos toman en cuenta los hábitos de la víctima y los de las personas que le rodean y por lo tanto, el mismo procedimento no funcionaría para otras personas/entidades, pero para estos casos es muy probable que vaya más allá de una vulnerabilidad del sistema operativo móvil que usen.
Aunque no creo que exista alguien que quiera intentar robarle cualquier cosa a Obama (salvo que el/los atacantes sean excepcionalmente buenos y el motivo cumpla también con tal cualidad), el sólo tratar te traería problemas con una docena de entidades de seguridad de todo tipo… cuando menos X). (Que se tome de ejemplo el reciente caso de swatting, que por una broma le dieron 25 años de cárcel a un adolescente.)
También hay casos, como los que convierten los equipos en bots para hacer bitcoin mining o virus con ads por ejemplo, en la que la cantidad de equipos afectados es totalmente relevante y mientras más se puedan afectar, mejor y realmente no importa quien es la víctima. No vas a hacer un virus para BB por un 0.3% (según tu ejemplo) de teléfonos en el mercado, si puedes hacer un programa para afectar a Android donde la cantidad de posibles víctimas es mayor que incluso la cantidad de equipos BB en uso.
Acabo de leer que el caso de swatting es un Hoax XD. Igual no creo que se tomen muy bien las autoridades que alguien le trate de robar <> a Obama.