CUANDO LAS APLICACIONES DE ANDROID PIDEN MS DE LO QUE NECESITAN

Comprender los permisos de las aplicaciones

* Google ha puesto a nuestra disposicin el robot de Android, que aparece en este libro electrnico segn los trminos de la licencia de Reconocimiento de Creative Commons.

Se acaba de comprar un nuevo smartphone basado en Android... y ahora qu? Pues sencillamente la parte ms emocionante: descargarse las aplicaciones adecuadas para potenciar su funcionalidad. Puede que incluso quiera descargarse un juego o dos, o quizs una pelcula o un reproductor de MP3. Android le permite personalizar su dispositivo con libertad, por lo que resulta muy atrayente para los que desean que sus smartphones sean lo ms exclusivos posible.
Esta libertad total para personalizar un smartphone basado en Android yla gran variedad de aplicaciones disponibles en Google Play son solo dos de los motivos por los que la popularidad del sistema operativo sigue en aumento. En un informe reciente, Canalys arma que casi el 50% de ms de107millones de smartphones vendidos en todo el mundo en elsegundo trimestre de 2011 se basaba en Android. Segn dicho informe, en Asia/Pacco se vendieron ms de 39millones de smartphones basados en Android. Un informe de Nielsen indica adems que Android fue lder tanto en cuota de mercado como en uso de datos en los Estados Unidos. Nielsen tambin considera que los usuarios de dispositivos basados en Android instalaron un promedio de 35aplicaciones cada uno.

LAS APLICACIONES SOLICITAN PERMISOS PARA FUNCIONAR

Imagine que las aplicaciones de Android son los huspedes de un hotel. Cada husped obtiene una tarjeta de acceso que le permite entrar en su habitacin, en el vestbulo, en el bar y puede que en otras partes delhotel. Esta tarjeta, no obstante, no le proporciona acceso a la cocina o a la oficina del director del hotel.
Como los huspedes del hotel, cada aplicacin de Android que instala en el dispositivo necesita determinados permisos o una "tarjeta de acceso" para poder funcionar. Los permisos que otorga a cada aplicacin le indican los recursos disponibles del dispositivo que puede utilizar. Muchas aplicaciones necesitan ms funciones que las propias de los dispositivos Android. Esto no signica, no obstante, que todas las aplicaciones que soliciten diversos permisos sean maliciosas por naturaleza. No existe una nica lista de permisos para los dispositivos basados en Android. Sin embargo, todos los permisos que normalmente solicitan las aplicaciones estn incluidos en el kit de desarrollo de software o SDK (en ingls, Software Development Kit) de Android para desarrolladores de aplicaciones. El sitio Web Android Developers tambin ofrece la denominada lista Manifest.permission, que enumera los permisos que las aplicaciones bsicamente necesitan para trabajar en un dispositivo basado en Android.

Solicitar permiso a los usuarios para acceder a determinadas funciones evita la propagacin de aplicaciones maliciosas entre los dispositivos Android. Por este motivo, los ciberdelincuentes han recurrido a la troyanizacin de aplicaciones legtimas para infectar los dispositivos y realizar acciones maliciosas. Actualmente, se pueden descargar casi 250.000aplicaciones en Google Play. El gran nmero de usuarios de Android es probablemente el motivo principal por el que los ciberdelincuentes consideran dichas aplicaciones como objetivos del robo de datos.

GARANTIZAR DEMASIADOS PERMISOS PUEDE CAUSAR DAOS

Las aplicaciones solicitan determinados permisos para funcionar antes incluso de su instalacin. Asegrese de leer los acuerdos de licencia de usuario final (EULA) de las aplicaciones, ya que le ayudarn a clarificar su finalidad. Las aplicaciones se basan en los permisos que usted les concede para realizar las tareas que les corresponden.
Muchas aplicaciones solicitan su permiso para obtener acceso a Internet y poder descargar actualizaciones. Otras solicitan permiso para consultar el estado y la identidad de su telfono y, de este modo, evitar que las llamadas interrumpan lo que estn haciendo. Lamentablemente, las aplicaciones troyanizadas pueden manipular estos permisos para llevar a cabo acciones maliciosas, por ejemplo, grabar sus conversaciones y enviar informacin del dispositivo como el nmero de identidad internacional de equipo mvil o IMEI (en ingls, International Mobile Equipment Identity) a un centro de mando.

Puede ver los permisos que ha otorgado a las aplicaciones despus de su instalacin. Para ello, en los telfonos basados en Android2.2. (Froyo), vaya a Ajustes > Aplicaciones > Administrar aplicaciones. Seleccione la aplicacin cuyos permisos desea ver y desplcese por ellos para consultarlos. En agosto de 2010, detectamos elprimer troyano de Android, queenviaba mensajes de texto a determinados nmeros. La mayor parte del malware de Android con que nos hemos encontrado desde entonces realiza una o varias actividades maliciosas, como robar datos (ladrones de datos), permitir el acceso remoto (aplicaciones de puerta trasera), acceder a sitios fraudulentos (activadores de fraudes por clics), escuchar llamadas y leer mensajes de texto personales e informacin de contacto (espas mviles), descargar otro tipo de malware (descargadores) y obtener privilegios administrativos o de raz (rooting o activadores de raz).

A continuacin, indicamos los permisos que hasta ahora hemos comprobado que normalmente solicitan las aplicaciones troyanizadas.

Comunicacin por red

Al activar Comunicacin por red, las aplicaciones pueden acceder a dispositivos con Internet o habilitados para Bluetooth. Este permiso de Android es el que ms se utiliza con nes delictivos, ya que las aplicaciones maliciosas necesitan acceso a Internet para comunicarse con los centros de mando o para descargar actualizaciones. Cuando concede este permiso a las aplicaciones, capacita a los espas mviles y los ladrones de datos para enviar la informacin que roban a usuarios remotos. Si deja el Bluetooth activado en su dispositivo, el futuro malware de Android podra infectarlo como el antiguo malware de Symbian OS.

Servicios con coste

El primer troyano de Android manipul el permiso de envo de mensajes de texto, as como los permisos Llamadas telefnicas y Almacenamiento. Tras obtener los permisos mencionados, dispona de la autorizacin necesaria para enviar mensajes de texto a determinados nmeros con recargo, lo que cost mucho dinero a los usuarios afectados, que pagaron por servicios que ni siquiera haban utilizado. En este tipo de artimaa, los ciberdelincuentes pueden pagar por determinados nmeros con recargo para obtener un benecio de cada mensaje de texto que envan los dispositivos basados en Android afectados.

Llamadas telefnicas
Tambin hemos detectado que el malware utiliza este permiso con nes delictivos para robar registros de llamadas de dispositivos Android. El archivo de registro se guarda como archivo .TXT y se enva a un centro de mando. Los registros de llamadas son uno de los objetivos preferidos de los ladrones de datos, dado que proporcionan ms informacin sobre los usuarios afectados. Al otorgar el permiso Llamadas telefnicas a aplicaciones maliciosas, estas pueden registrar las conversaciones y robar mensajes de texto. Esto aumenta el riesgo que corren los que utilizan sus dispositivos para realizar transacciones bancarias en lnea, ya que las credenciales que se facilitan por telfono o a travs de mensajes de texto (SMS) pueden acabar en manos de ciberdelincuentes, que esperan estos datos con avidez.

Herramientas del sistema

El malware que hemos observado manipula permisos como los necesarios para iniciar automticamente durante el arranque, cambiar de estado de Wi-Fi, cambiar la conectividad de red e impedir que el telfono entre en modo inactivo. Este malware permite a los ciberdelincuentes ejecutar sus propios servicios maliciosos. Veamos un ejemplo: una aplicacin de juegos no necesita iniciarse automticamente cada vez que enciende su telfono, por lo que no es necesario que solicite permiso para hacerlo. De hecho, esto indicara que probablemente la verdadera intencin de dicha aplicacin es ejecutar un servicio malicioso de forma silenciosa en segundo plano cada vez que encienda su telfono.

Almacenamiento
Cuando se concede permiso a una aplicacin para modicar o eliminar el contenido de la tarjeta de datos seguros (SD), dicha aplicacin puede leer, escribir y/o eliminar cualquier dato incluido en la tarjeta. Los ladrones de datos pueden manipular este permiso para almacenar una copia de la informacin que han robado o guardar un .TXT, un .INI o un tipo de archivo similar en su tarjeta SD antes de enviarlo a un centro de mando. Adems, ofrece a la aplicacin maliciosa la posibilidad de sobrescribir archivos existentes en la tarjeta SD.

Su ubicacin
Uno de los ladrones de datos de Android ms notables que hemos detectado solicitaba permiso para conocer la ubicacin geogrca del usuario. Tenga en cuenta que este tipo de informacin se puede utilizar para cometer delitos en el mundo real, como el acoso. En la red, los datos geogrcos pueden resultar tiles para enviar malware o spam de forma especca por regin.

La mayora del malware de Android que hemos observado solicita como mnimo tres permisos bastante inusuales para su uso normal. Este es un buen indicador de ilegitimidad cuando se instalan aplicaciones. Le recomendamos que piense detenidamente el tipo de permisos que otorga a una aplicacin antes de confirmar su uso. ANDROIDOS_SPYGOLD.A, que troyanizaba Fast Racing, por ejemplo, solicitaba diversos permisos que ese tipo de aplicacin de juegos normalmente no necesitara para poder funcionar.

CMO EVITAR OTORGAR DEMASIADO ACCESO A LAS APLICACIONES

No olvide que, dado que Android le ofrece la libertad de instalar la aplicacin que desee, la responsabilidad de mantener el dispositivo exentode malware reside en sus manos. Para obtener ms consejos y trucos sobre cmo mantener protegidos sus datos frente a aplicaciones maliciosas, lea nuestro libro electrnico "5sencillos pasos para garantizar la seguridad de los smartphones basados en Android". Recuerde tambin estos tres consejos para evitarotorgar demasiado acceso a las aplicaciones:
1. Infrmese sobre las aplicaciones antes de descargarlas e instalarlas. Averige quin es el creador y lea las opiniones de otros usuarios sobre ellas y sus desarrolladores en los comentarios que se muestran en Google Play o en cualquier tienda de aplicaciones de terceros. Tambin conviene comprobar la valoracin que se muestra en la tienda de la aplicacin. Sin embargo, tenga en cuenta que gran parte del malware troyaniza aplicaciones legtimas con el objetivo de que usuarios como usted las descarguen.

2. Lea detenidamente los permisos que solicita una aplicacin hasta estar seguro de comprenderlos. Recuerde que la mayora de aplicaciones troyanizadas aparentan legitimidad. Dichas aplicaciones solicitan ms permisos de los que realmente necesitan. Si ha descargado e instalado un reproductor multimedia que, por ejemplo, solicita permiso para enviar mensajes de texto, pinselo de nuevo antes de aceptar los trminos del acuerdo. Si bien algunas apli ca ciones legtimas necesitan diversos permisos, el hecho de solicitar demasiados puede poner en grave peligro su dispositivo y sus datos. 3. Le recomendamos que invierta en un software de seguridad para mviles que proteja no solo su telfono, sino tambin los datos almacenados en l. Soluciones como Trend Micro Mobile Security Personal Edition pueden identicar y detener el malware antes incluso de que alcance su dispositivo. Con el respaldo de las mismas tecnologas que Trend Micro Smart Protection Network, esta solucin protege ecazmente sus dispositivos basados en Android frente al malware ms reciente.

TREND MICRO Trend Micro, Incorporated es una empresa pionera en la gestin de contenidos seguros y amenazas. Fundada en 1988, Trend Micro ofrece software, hardware y servicios de seguridad galardonados tanto a usuarios individuales como a organizaciones de todos los tamaos. Con sede en Tokio y operaciones en ms de 30 pases, las soluciones de Trend Micro pueden adquirirse a travs de distribuidores empresariales y de valor aadido as como de proveedores de servicios en todo el mundo. Para obtener ms informacin y copias de evaluacin de los productos y servicios de TrendMicro, visite nuestro sitio Web www.trendmicro.com.

TREND MICRO Spain Pza. de las Cortes, 4 8 Izq. 28014 Madrid Tel.: +34 91 369 70 30 Fax: +34 91 369 70 31 www.trendmicro.com

2011 por Trend Micro, Incorporated. Reservados todos los derechos. Trend Micro y el logotipo en forma de pelota de Trend Micro son marcas registradas o marcas comerciales de Trend Micro, Incorporated. Elresto de los nombres de productos o empresas pueden ser marcas comerciales o registradas de sus respectivos propietarios.