PDA

Ver la versión completa : La cruda realidad del Market de Android



LUK
17-06-2011, 12:56
Últimamente el 'mercado' del malware para dispositivos móviles está al alza, ha pasado de discretas pruebas de concepto a sofisticadas piezas capaces de hacer rotos considerables.

Existe una creencia muy extendida sobre la confiabilidad del market de Android (https://market.android.com/), me he encontrado con mucha gente que tiene su móvil sobre-saturado de aplicaciones de diversa índole y ante mi pregunta: ¿Pero no te da miedo instalar tantas cosas? La respuesta suele ser: Tranquilo, me lo he bajado del Market -sic-

Pero, ¿Es el market ese lugar confiable y seguro donde las aplicaciones están probadas? Para responder esta pregunta hemos hecho un experimento empírico que despeje toda duda.

Introduciendo una aplicación malware en el market
El primer paso consiste en darse de alta en el Market, con una cuenta Google es suficiente, después de eso, tan solo hay que pagar un canon de unos 20 euros para poder subir aplicaciones. Completado ese paso ya tienes la posibilidad de hacer upload de aplicaciones.

El siguiente paso es construir una aplicación malware, para ello he contado con el gran Luis Delgado (http://twitter.com/#%21/ldelgadoj) (colaborador habitual del blog) que ha programado dos aplicaciones: Quote IT y Quote IT-Slim

Quote It es una de esas típicas aplicaciones en apariencia inocentes que ofrece la posibilidad de obtener 'frases divertidas' y mostrarlas al usuario, muy al estilo de las aplicaciones tipo 'Galleta de la fortuna'. La aplicación es 100% funcional solo que, además de hacer eso hace 'mas cosas'.

Quote It necesita para funcionar conexión a Internet ya que necesita 'bajarse las frases' para ello emplea una petición http GET hacia un servidor bajo nuestro control. Además, mientras realiza su función legítima, también es capaz de extraer los contactos de la agenda del teléfono, cifrarlos (empleando el algoritmo 3DES), y en la misma petición hacia el servidor, introducir la información como una aparentemente inocente cookie de sesión, de forma que en cada conexión, un dato privado viaja hacia el servidor. En aras de no causar daños reales, la aplicación auto-censura la información (cambia datos por asteriscos *) cuando la envía hacia fuera [El objetivo del estudio no es causar daños a terceros]


El permiso de acceso a la agenda telefónica se justifica ante el usuario por la capacidad 'social' de la aplicación de compartir las frases con otros usuarios vía correo electrónico


http://www.youtube.com/watch?v=iz6UId00A38

Quote It-Slim tiene la misma funcionalidad pública pero diferente payload de malware, en este caso lo que hace es troyanizar el sistema y abrir el puerto 8080 del teléfono móvil desde el cual, usando un cliente especial, se pueden introducir comandos en el sistema, acceder a ficheros o cambiar configuraciones de forma remota.


http://www.youtube.com/watch?v=boAdXZCSYc4

Y ahora la pregunta del millón: ¿Hemos podido subir y publicar dichas aplicaciones? La respuesta es: SI, nadie nos ha puesto problema alguno, las aplicaciones se subieron al market y estuvieron disponibles por varios días.

Una vez terminado el estudio retiramos ambas aplicaciones del Market, no obstante para el que esté interesado en verlas las puede descargar de aquí (http://ldelgado.es/index.php?dir=seguridad/android)


Quote It
http://3.bp.blogspot.com/-txwbk_sBZWI/TfdQy8pEo6I/AAAAAAAABHo/6-z1ENlSTvI/s320/quoteit.png (http://3.bp.blogspot.com/-txwbk_sBZWI/TfdQy8pEo6I/AAAAAAAABHo/6-z1ENlSTvI/s1600/quoteit.png)




Quote It Slim
http://2.bp.blogspot.com/-jGUcAKKPFeA/TfdQ7ksjhgI/AAAAAAAABHs/8pvBh1td0Es/s320/quoteit-slim.png (http://2.bp.blogspot.com/-jGUcAKKPFeA/TfdQ7ksjhgI/AAAAAAAABHs/8pvBh1td0Es/s1600/quoteit-slim.png)

Lo divertido del asunto es que dichas aplicaciones, sin promoción alguna, en tan solo 3 días fueron descargadas por decenas de personas, incluso en varios casos hasta nos reportaron fallos que ¡nos ayudaron a solucionar bugs !


http://1.bp.blogspot.com/-0XjDvrx4L6o/TfjII-ELGRI/AAAAAAAABH0/-5iJbj6qELk/s640/android-dw.png (http://1.bp.blogspot.com/-0XjDvrx4L6o/TfjII-ELGRI/AAAAAAAABH0/-5iJbj6qELk/s1600/android-dw.png)

Y esta es la cruda realidad del Market de Android

Publicado por Yago Jesus en http://www.securitybydefault.com/2011/06/la-cruda-realidad-del-market-de-android.html