Video: ¡PROTEGE TU MÓVIL! ⚠️ Seguridad y privacidad en iPhone y Android | ChicaGeek (Noviembre 2024)
Cuando escribo sobre la seguridad de Android, tiendo a ver mucho del mismo problema una y otra vez (SSL, muchachos, ¡vamos!). Le pedimos al CEO de Widdit, Noam Fine, y al jefe de desarrollo móvil, Nir Orpaz, que explicaran por qué los desarrolladores de Android toman las decisiones de seguridad que hacen y qué deben hacerse mejor después de enfrentar una crisis de seguridad propia.
Falta de conocimiento
Al hablar con los desarrolladores de Widdit, parece haber una desconexión entre los jugadores en el ecosistema de Android. "Los usuarios no tienen la educación suficiente para ver lo que están agregando a su teléfono", dijo Fine. "No estoy seguro de que a todos realmente les importe tanto".
Los desarrolladores, por otro lado, no siempre conocen los riesgos que pueden representar sus aplicaciones. "Los desarrolladores no entienden completamente que lo que transmiten es información personal", dijo Orphaz. Fine estuvo de acuerdo, diciendo que no había reglas estrictas sobre qué información era realmente "personal".
Otro problema son los anunciantes externos que pagan a los desarrolladores para que incluyan kits de desarrollo de software (SDK) en sus aplicaciones para recopilar información sobre los usuarios. Los anunciantes pueden recopilar datos de múltiples aplicaciones en expedientes sorprendentemente detallados. Por ejemplo, una aplicación puede preguntar por su edad y otra por su nombre, pero el mismo anunciante puede tener acuerdos con ambos.
Vale la pena señalar que Widdit es una especie de desarrollo de aplicaciones y publicidad. Desarrollan una plataforma SDK que se puede insertar en las aplicaciones para que los desarrolladores de aplicaciones puedan ganar algo de dinero con sus creaciones.
Para Fine, la falta de educación del usuario pone la responsabilidad de la seguridad completamente en los desarrolladores. "Si te importa tu reputación, inviertes mucho esfuerzo en mantenerla. Esto significa que tu negocio practica tanto como tus prácticas de seguridad", dijo Fine. Alentó a los desarrolladores a pensar detenidamente antes de registrarse con los anunciantes e instalar SDK en sus aplicaciones. También alentó a los desarrolladores a examinar los permisos requeridos por los SDK antes de habilitarlos en su aplicación. "Si usted como desarrollador no solicitó esos permisos, ¿está dispuesto a otorgar esos permisos al SDK?"
Desarrollando de forma segura
Tanto Fine como Orphaz dijeron que hablar de seguridad era una cosa, pero implementarlo en aplicaciones era otra muy distinta. Mantener una conexión SSL encriptada para transmitir información es una buena práctica, pero puede ser un desafío para los pequeños desarrolladores. "Debe obtener un servidor SSL y, a veces, eso no es fácil", explicó Orpaz. Hemos visto a muchas compañías criticadas por eludir o maltratar SSL.
Algunas vulnerabilidades surgen incluso de las funciones más básicas. Por ejemplo, Fine señaló el permiso de Android que permite que las aplicaciones se conecten a Internet. "Eso es algo que todo desarrollador hace", dijo Fine. "Una vez que estás conectado a la red, eso es inmediatamente una vulnerabilidad".
Alentó a los desarrolladores a usar el sentido común y mapear los riesgos potenciales de las características que incluyen en sus aplicaciones, así como a recopilar información sobre los usuarios. "Si está haciendo esto, debe detenerse y pensar '¿qué estoy haciendo para minimizar los riesgos?'", Dijo Fine. "No estoy seguro de que la mayoría de los desarrolladores hagan eso".
Experiencia de primera mano
Widdit tenía sus propios problemas de seguridad, que informamos en una publicación reciente de Mobile Threat Monday. Su sistema usa el código SDK dentro de la aplicación que llama diariamente a un servidor remoto para descargar una actualización en el teléfono Android. Los investigadores de seguridad lo señalaron como peligroso ya que la comunicación se manejó sin una conexión SSL, lo que potencialmente permite que un atacante intercepte el archivo y lo reemplace por uno malicioso.
Fine y Orphaz enfatizaron que sabían sobre el problema antes de que los investigadores lo anunciaran, y que ya habían planeado solucionarlo en el futuro. "Se percibió que esta vulnerabilidad tenía una probabilidad muy baja de suceder. Una vez que la entendimos mejor, nos ocupamos de inmediato y lanzamos una nueva versión". Fine describió con éxito la realización de un ataque con Widdit como una posibilidad "uno en mil millones".
Pero reconoció que era necesario hacer un cambio. "No fue lo suficientemente bueno como para decir que era una probabilidad realmente baja", dijo Fine.
Es cierto que un atacante tendría que hacer todo lo posible para usar Widdit para atacar el teléfono de alguien. Ciertamente no sería el tipo de cosa que intentaría el estafador promedio de Android. Pero los atacantes pueden reunir enormes recursos si la recompensa es valiosa, y el panorama de amenazas móviles está cambiando todo el tiempo. Lo que podría ser una oportunidad de mil millones para uno hoy, podría ser algo seguro mañana.
Todos, arriba tu juego
Los usuarios de Android pueden estar más preocupados por la seguridad debido a las revelaciones de Snowden sobre la recopilación de datos de la NSA, pero también deberían estar mirando sus propias aplicaciones. Ya hemos visto cómo las agencias de espionaje están aprovechando juegos como Angry Birds para recopilar información. Fine dijo que los usuarios manejan el ecosistema de Android, y si exigen una mejor seguridad, los desarrolladores tendrán que seguir.
"Todo el mundo tiene la responsabilidad como usuario de Android de establecer el estándar y educarse a sí mismo y a sus hijos", dijo Fine. "Nuestros hijos mientras crecen, no sabrán un momento en que no se comparte todo". Fine continuó que los desarrolladores "necesitan sentir el mismo sentido de responsabilidad".
