Las aplicaciones maliciosas, subidas al servicio de alojamiento de Google por el programador denominado Logastrod, se hacían pasar por juegos muy populares tales como Angry Birds, Assasin Creed Revelations y Need for Speed. El programador supuestamente clonaba los títulos, incluyendo los gráficos que acompañan y las descripciones, y agregaba código malicioso que provoca que los terminales envíen y reciba subrepticiamente los mensajes.
Para el momento en que Google retiró esos títulos, más de 24 horas después que estuvieron puestos disponibles, más de 10.000 personas los habían descargado, según publicado en un blog post el lunes por Sophos.
"Ya hemos indicado varias veces que los requerimientos para convertirse en un desarrollador Android que pueda publicar apps en el Android Market son muy laxos", escribe el blogger de Sophos Vanja Svajcer. "El
costo de convertirse en un desarrollador y ser prohibido por Google es
mucho más bajo que el dinero que se puede hacer publicando apps
maliciosas. Los ataques al Android Market continuarán en tanto los
requerimientos para los desarrolladores se mantengan tan relajados".
Los usuarios que instalaron los juegos falsos vieron las pantallas de permisos que advertían que las apps era capaces de "editar SMS o MMS, leer SMS o MMS, recibir SMS" con los mensajes. Las apps también vienen con los términos de servicio que revela a los usuarios que serán suscriptos a servicios premium que cuestan hasta €4.50.
La revelación que Google alojó títulos maliciosos por más de un día y permitió que fueran descargados por más de 10.000 veces es una amplia evidencia que esta protecciones no son suficientes para asegurar al Android Market. Google rehusó firmemente escanear apps disponibles en su tienda en línea para buscar código malicioso que registre lo que tipea el usuario o que generen grandes gastos.
Por mucho tiempo Google ha estado aconsejando a los usuarios a examinar cuidadosamente la pantalla de permisos de cada app antes de instalarla. Y al menos uno de sus empleados arremetió contra las empresas que proveen productos antivirus para los terminales Android, llamándolos "charlatanes que juegan con el miedo de los usuarios".
Con tantas apps Android que requieren acceso a información de ubicación geográfica, funciones de mensajería, y otros recursos sensibles, Google aún debe educar a los usuarios sobre como saber si esos son pedidos legítimos o ilegítimos. Es más, el enfoque de advertencia de Google significa que depende de los usuarios el asegurarse que no sean estafados cuando compran apps en la tienda oficial de la compañía.
Fuente: http://blog.segu-info.com.ar/2011/12/aplicaciones-maliciosas-se-infiltran-en.html#axzz1gbfBcFZ3
No hay comentarios:
Publicar un comentario