• Tweet

Un nuevo estudio que analizó el comportamiento de 10,000 aplicaciones descargadas desde Android Market, muestra que muchas de las aplicaciones móviles permiten la fuga de información personal y que los dispositivos móviles pueden ser tan vulnerables al descargar ataques de drive-by como lo son las PCs.

Algunas de las principales conclusiones de la investigación incluyen:

842 de las 10,000 aplicaciones analizadas de Android Market permiten la fuga de información privada. Las aplicaciones transmitieron los números de International Mobile Equipment Identity (IMEI) y de International Mobile Subscriber Identity (IMSI) a servidores remotos, exponiendo potencialmente a que esta información de identificación personal sea comprometida. La fuga de información ocurre más frecuentemente cuando los desarrolladores de aplicaciones utilizaron IMEIs como IDs, permitiendo a aplicaciones no relacionadas comparar notas sobre el comportamiento del usuario, y clonar números telefónicos.

La obtención de hashes de los numero IMEI para proteger la privacidad no protege al usuario. Mientras algunos desarrolladores de aplicaciones móviles buscan proteger los datos personales del IMEI a través de hashing criptográfico, el equipo de seguridad Dasient encontró que las técnicas de hashing utilizadas sobre IMEI fueron relativamente fáciles de eludir.

Los ataques a dispositivos móviles pueden convertirse en un muy real y nuevo vector de amenaza para los distribuidores de malware. Los teléfonos móviles tiene información valiosa almacenada en ellos y su uso se está incrementando en el comercio móvil, incluyendo la banca móvil y transacciones comerciales. Los navegadores web móviles son tan robustos como sus contrapartes de escritorio, con intérpretes de JavaScript y soporte a plug-ins de terceros, lo cual da como resultado una superficie de ataque incrementada. Los smartphones están utilizando paquetes comunes de software y las vulnerabilidades en éstos empeorará definitivamente con el tiempo.

Mientras que las descargas drive-bys en equipos de escritorio son algo común, la capacidad de conducir ataques de drive-by móviles es algo nuevo, y potencialmente atractivo, como método de distribución de malware.