Utilizando un "honeyclient" se realiza un análisis de un repositorio de aplicaciones Android alternativo al de Google. Se realiza el test sobre 2.300 aplicaciones del repositorio. Se concluye que (un 27%) mandaban SMS premium y los identificadores IMEI e IMSI del móvil por Internet a un servidor en Luxemburgo.
#10:
#6 si te parece una chorrada que una web de seguridad informatica como hispasec se hayan molestado en bajarse 2300 aplicaciones para ver como estaban hechas y como se comportaban, entonces abre todos los puertos del router y bajate todas las barras de navegador que encuentres. por cierto, ya es portada.
#22:
#6#21 ¿Aún sigues aquí?
Lo suponía. Otro meapilas sin palabra...
#12:
F-Droid da muchas más garantías que cualquier otro repositorio de software.
Todo lo que ahí se sube es software libre y el paquete precompilado está verificado que es el resultado de compilar un determinado código fuente (versión y fecha concretas).
Es lo que tiene el software libre.
#11:
#5#9 como desarrollador he trabajado tanto con Google Play como con Amazon Apps y he de decir que siendo usuario me fiaría más de Amazon. Ellos al menos prueban las aplicaciones antes de aprobarlas. En Google Play entra todo...
Ninguna te garantiza nada pero algo es algo.
#13:
#6menuda chorrada de noticia, alguien ha mirado lo que explican? como esta mierda llegue a portada borro la cuenta de meneame
F-Droid da muchas más garantías que cualquier otro repositorio de software.
Todo lo que ahí se sube es software libre y el paquete precompilado está verificado que es el resultado de compilar un determinado código fuente (versión y fecha concretas).
Es lo que tiene el software libre.
#12 ¿y se revisa el fuente de todas las aplicaciones antes de ponerlas para su descarga?. Lo digo porque por mucho software libre que sea si nadie audita el código no sirve de nada.
#25 el problema es que no se hace (ni se puede en el momento de la subida :P). deberia hacerse cuando esta en servidor, pero entre la cantidad de aplicaciones y, como en este caso, que algunos usan ofuscacion para que no sepas que narices estas viendo, hay veces que sirve de poco. y a veces ni con el hash, porque en las pruebas la misma aplicacion estaba generando hash distintos para saltarse la proteccion de antivirus, lo explica mejor en el ultimo parrafo de la noticia. pero tambien para eso estan paginas como la de hispasec, security by default y webs similares o el proyecto NEMESIS
#29 pues los dos temas son preocupantes pero creo que el software malicioso lo es mas y es lo que se debe buscar en primera instancia. Si subo una aplicación a F-Droid que dice que es linterna pero ademas de eso envía SMS premium, por decir algo, ¿cuanto tiempo pasará hasta que alguien se de cuenta?
Puede que este ejemplo sea sencillo por la naturaleza de la aplicación pero si en vez de una linterna es un juego y por ahí escondido esta el código de envío de mensajes. En este caso la auditoria de código se hace mas pesada y complicada.
#41
No te dejarían subirlo porque la aplicación requiere de permisos que no le son propios y los está usando para propósitos deshonestos.
Es lo que tiene el software libre, es sencillo encontrar usos maliciosos del código fuente.
#42 depende de la aplicación. Una de linterna pues si lo será pero si es algo mas complejo las cosas se pueden pasar. En vez de enviar sms premium usa la conexión a internet para enviar otra cosa. Y ese permiso ya no es nada raro. Hasta donde yo se Google también revisa los fuentes (si no es así corrígeme) y Google Play tiene mierda.
#43
Google no revisa los fuentes porque los fuentes no van con la aplicación y Google Play tiene algunos programas maliciosos pero la mayoría son expulsados con el Bouncer.
¿Usar la conexión a Internet para enviar otra cosa?, con el código fuente disponible es sencillo encontrar a dónde se conecta y a dónde no. Estamos hablando de código Java con un propósito específico con variables estáticas.
#44 saber donde se conecta no es lo mismo que saber lo que envía. yo estoy metido en un juego que es multijugador. Ese se conecta a los servidores de la empresa. Ya sabes donde se conecta y te mola pero de momento no sabes lo que envía. ¿se puede saber? claro, incluso sin mirar el código (si vas por wifi claro). Yo no digo que analizar el funcionamiento de una aplicación sea una ardua tarea. Los difícil es hacerlo con todas.
Vamos a poner unos números basados en Google Play. Los he sacado de aquí http://es.wikipedia.org/wiki/Google_Play
Entre Marzo de 2009 y Enero de 2012 se subieron 397.000 aplicaciones. Esto son 34 meses con lo que da 11697 aplicaciones por mes. En la misma wikipedia http://es.wikipedia.org/wiki/F-Droid veo que F-Droid tiene unas 1000 aplicaciones. Supongo que ves la diferencia de volumen.
Estoy convencido que so a F-Droid le das la caña que se le da a Google Play te van a colar muchas cosas antes de que alguien se de cuenta. Y posiblemente ese ha sido el problema de Google.
Y ya que estamos con este tema ¿que tal le va a Apple con todo esto?
#47
El volumen es irrelevante porque se puede incluso analizar de forma automática.
Es como si dijeras que el kernel Linux que tiene mucho volumen no puede ser controlado, falacia del copón. La auditoría se realiza de forma incremental y se gestiona durante el desarrollo de la aplicación, que para algo es software libre y permite un desarrollo abierto como todas las aplicaciones que hay actualmente en F-Droid, incluyendo por ejemplo el monstruo de Firefox o algo más pequeño como Telegram.
Es algo inherente al software libre el autocontrol de la seguridad así como también la calidad del código y la normativa de entrada a F-Droid.
#23 ya lo tienen, de hecho para instalar las aplicaciones del repositorio que habla el articulo debes desactivar esa función, y no hablo del instalador de paquetes, si no del verificador de aplicaciones de google que traen los móviles que no vienen "personalizados" por los fabricantes de turno
#26 Yo hablo de verificaciones cuando alguien pone una app disponible en la google play store. Parece ser que se les sigue colando algunas aplicaciones maliciosas.
#1 "Te parecen". Pero no tienes ninguna garantía. Es el problema con estos repositorios, que te la pueden colar como quieran. Aunque Amazon en teoría es un sitio "con garantías"...
#5#9 como desarrollador he trabajado tanto con Google Play como con Amazon Apps y he de decir que siendo usuario me fiaría más de Amazon. Ellos al menos prueban las aplicaciones antes de aprobarlas. En Google Play entra todo...
#9 pues no. Yo con la rol miui tengo un gestor de permisos bastante bueno que me avisa de que hay aplicaciones como Facebook mismamente que cada dos por tres le pide mi imei entre otros datos raros. Lo bloqueo todo lo innecesario. Es impresionante la cantidad de apps de la play store supuestamente reconocidas y famosas que te piden la localización y el imei cada dos por tres sin motivo.
Todo el software que viene de Rusia y alrededores es malware o como minimo sospechoso. Se libran algun reproductor decente y alguna cosa más... Mucho ojo con esta gente. También, hasta donde he visto, es una de las fábricas mundiales de chetos y hacks para juegos, especialmente free2play, donde toda la inversión se va en buscar maneras de atraer nuevos jugadores y hacerles gastar pasta, y hay nulo cuidado en vigilar y prevenir los chetos/hacks, con la consecuente molestia para jugadores fieles.
Me gustaria ver este mismo analisis en windows phone? sinceramente yo hace tiempo ya que he hudio de android, un SO inseguro y q consume mas recursos de los necesarios.
#6 si te parece una chorrada que una web de seguridad informatica como hispasec se hayan molestado en bajarse 2300 aplicaciones para ver como estaban hechas y como se comportaban, entonces abre todos los puertos del router y bajate todas las barras de navegador que encuentres. por cierto, ya es portada.
Comentarios
Solo un 27%? Me esperaba bastante mas
#3 Hombre, no sé, es una de cada cuatro (un poquitín más). Parece exagerado.
F-Droid da muchas más garantías que cualquier otro repositorio de software.
Todo lo que ahí se sube es software libre y el paquete precompilado está verificado que es el resultado de compilar un determinado código fuente (versión y fecha concretas).
Es lo que tiene el software libre.
#12 ¿y se revisa el fuente de todas las aplicaciones antes de ponerlas para su descarga?. Lo digo porque por mucho software libre que sea si nadie audita el código no sirve de nada.
#25 el problema es que no se hace (ni se puede en el momento de la subida :P). deberia hacerse cuando esta en servidor, pero entre la cantidad de aplicaciones y, como en este caso, que algunos usan ofuscacion para que no sepas que narices estas viendo, hay veces que sirve de poco. y a veces ni con el hash, porque en las pruebas la misma aplicacion estaba generando hash distintos para saltarse la proteccion de antivirus, lo explica mejor en el ultimo parrafo de la noticia. pero tambien para eso estan paginas como la de hispasec, security by default y webs similares o el proyecto NEMESIS
#25
Pero, ¿hablamos de software malicioso o de búsqueda de fallos de seguridad?
#29 pues los dos temas son preocupantes pero creo que el software malicioso lo es mas y es lo que se debe buscar en primera instancia. Si subo una aplicación a F-Droid que dice que es linterna pero ademas de eso envía SMS premium, por decir algo, ¿cuanto tiempo pasará hasta que alguien se de cuenta?
Puede que este ejemplo sea sencillo por la naturaleza de la aplicación pero si en vez de una linterna es un juego y por ahí escondido esta el código de envío de mensajes. En este caso la auditoria de código se hace mas pesada y complicada.
#41
No te dejarían subirlo porque la aplicación requiere de permisos que no le son propios y los está usando para propósitos deshonestos.
Es lo que tiene el software libre, es sencillo encontrar usos maliciosos del código fuente.
#42 depende de la aplicación. Una de linterna pues si lo será pero si es algo mas complejo las cosas se pueden pasar. En vez de enviar sms premium usa la conexión a internet para enviar otra cosa. Y ese permiso ya no es nada raro. Hasta donde yo se Google también revisa los fuentes (si no es así corrígeme) y Google Play tiene mierda.
#43
Google no revisa los fuentes porque los fuentes no van con la aplicación y Google Play tiene algunos programas maliciosos pero la mayoría son expulsados con el Bouncer.
¿Usar la conexión a Internet para enviar otra cosa?, con el código fuente disponible es sencillo encontrar a dónde se conecta y a dónde no. Estamos hablando de código Java con un propósito específico con variables estáticas.
#44 saber donde se conecta no es lo mismo que saber lo que envía. yo estoy metido en un juego que es multijugador. Ese se conecta a los servidores de la empresa. Ya sabes donde se conecta y te mola pero de momento no sabes lo que envía. ¿se puede saber? claro, incluso sin mirar el código (si vas por wifi claro). Yo no digo que analizar el funcionamiento de una aplicación sea una ardua tarea. Los difícil es hacerlo con todas.
Vamos a poner unos números basados en Google Play. Los he sacado de aquí http://es.wikipedia.org/wiki/Google_Play
Entre Marzo de 2009 y Enero de 2012 se subieron 397.000 aplicaciones. Esto son 34 meses con lo que da 11697 aplicaciones por mes. En la misma wikipedia http://es.wikipedia.org/wiki/F-Droid veo que F-Droid tiene unas 1000 aplicaciones. Supongo que ves la diferencia de volumen.
Estoy convencido que so a F-Droid le das la caña que se le da a Google Play te van a colar muchas cosas antes de que alguien se de cuenta. Y posiblemente ese ha sido el problema de Google.
Y ya que estamos con este tema ¿que tal le va a Apple con todo esto?
#45
Las aplicaciones maliciosas no van así
Siempre se conectan a URLs sospechosas y pueden usar SSL.
#46 pero dices nada del volumen de aplicaciones que trata F-Droid.
#47
El volumen es irrelevante porque se puede incluso analizar de forma automática.
Es como si dijeras que el kernel Linux que tiene mucho volumen no puede ser controlado, falacia del copón. La auditoría se realiza de forma incremental y se gestiona durante el desarrollo de la aplicación, que para algo es software libre y permite un desarrollo abierto como todas las aplicaciones que hay actualmente en F-Droid, incluyendo por ejemplo el monstruo de Firefox o algo más pequeño como Telegram.
Es algo inherente al software libre el autocontrol de la seguridad así como también la calidad del código y la normativa de entrada a F-Droid.
https://f-droid.org/contribute/
https://f-droid.org/wiki/page/Inclusion_Policy
https://f-droid.org/wiki/page/Inclusion_How-To
https://f-droid.org/forums/forum/submission-queue/
https://f-droid.org/manual/
Google debería implementar un analisis automatizado de este tipo para todas las aplicaciones de la google play store.
Parece que existía un servicio llamado google bouncer que analizaba las apps automaticamente, pero no analizaba la aplicación durante un periodo un poco mas largo de tiempo, solo durante la instalación y entonces los creadores de apps maliciosas retrasaban las conexiones y acciones maliciosas hasta mas tarde de la instalación.
http://www.nemesys-project.eu/nemesys/files/document/resources/Infrastructure_for_detecting_Android_malware.pdf
#23 ya lo tienen, de hecho para instalar las aplicaciones del repositorio que habla el articulo debes desactivar esa función, y no hablo del instalador de paquetes, si no del verificador de aplicaciones de google que traen los móviles que no vienen "personalizados" por los fabricantes de turno
#26 Yo hablo de verificaciones cuando alguien pone una app disponible en la google play store. Parece ser que se les sigue colando algunas aplicaciones maliciosas.
#30 Es la primera vez que lo veo en bastante tiempo. Igual es que no entro en las noticias divertidas
#31 http://www.meneame.net/search?q=tatuo&w=comments&h=&o=&u=javierb
#21 Eres un poco bocachanclas. Sin acritud
F-Droid o Amazon me parecen de fiar
#1 "Te parecen". Pero no tienes ninguna garantía. Es el problema con estos repositorios, que te la pueden colar como quieran. Aunque Amazon en teoría es un sitio "con garantías"...
#5 Garantía no tienes ni en el Play Store
#5 #9 como desarrollador he trabajado tanto con Google Play como con Amazon Apps y he de decir que siendo usuario me fiaría más de Amazon. Ellos al menos prueban las aplicaciones antes de aprobarlas. En Google Play entra todo...
Ninguna te garantiza nada pero algo es algo.
#9 pues no. Yo con la rol miui tengo un gestor de permisos bastante bueno que me avisa de que hay aplicaciones como Facebook mismamente que cada dos por tres le pide mi imei entre otros datos raros. Lo bloqueo todo lo innecesario. Es impresionante la cantidad de apps de la play store supuestamente reconocidas y famosas que te piden la localización y el imei cada dos por tres sin motivo.
#1 Como que lo que hay en FDroid es todo software libre...
In Putin's Russia...
Hay gente q por ahorrarse 0.80cm prefiere arriesgarse a arruinarse la vida.
Todo el software que viene de Rusia y alrededores es malware o como minimo sospechoso. Se libran algun reproductor decente y alguna cosa más... Mucho ojo con esta gente. También, hasta donde he visto, es una de las fábricas mundiales de chetos y hacks para juegos, especialmente free2play, donde toda la inversión se va en buscar maneras de atraer nuevos jugadores y hacerles gastar pasta, y hay nulo cuidado en vigilar y prevenir los chetos/hacks, con la consecuente molestia para jugadores fieles.
#7 Además está escrito en un español regulero
Me gustaria ver este mismo analisis en windows phone? sinceramente yo hace tiempo ya que he hudio de android, un SO inseguro y q consume mas recursos de los necesarios.
Interesante análisis y fácil de comprender.
menuda chorrada de noticia, alguien ha mirado lo que explican? como esta mierda llegue a portada borro la cuenta de meneame
#6 ¿Por qué? ¿Que le pasa al artículo?
#6 si te parece una chorrada que una web de seguridad informatica como hispasec se hayan molestado en bajarse 2300 aplicaciones para ver como estaban hechas y como se comportaban, entonces abre todos los puertos del router y bajate todas las barras de navegador que encuentres. por cierto, ya es portada.
#10 se han bajado aplicaciones de una repo rusa con aplicaciones de pago que en ese servidor son "gratis"
que esperaban encontrar? caramelos?
el mejor antivirus esta detrás de la pantalla y se llama sentido común
noticia totalmente irrelevante
#6 #21 ¿Aún sigues aquí?
Lo suponía. Otro meapilas sin palabra...
#6 menuda chorrada de noticia, alguien ha mirado lo que explican? como esta mierda llegue a portada borro la cuenta de meneame
Ha llegado a portada.
#6 Hasta siempre compañero !!
#6 antes de irte transfiereme tu karma
#6 Está en portada. Ya la puedes borrar, que de paso nos haces un favor.
#6 Menéame, como Barrapunto, ya no es lo que era. Antaño se apostaban las portadas con tatuajes en partes poco decorosas
#19 se sigue haciendo
#6 Good night, sweet prince.
#6 Ya te estás dando de baja, amigo.
#6 Tú no eres un hombre de palabra
#6 adiós, ha llegado a portada y debes cerrar tu cuenta.
te recordaré como un alegre y equivocado usuarios transgenero que hablaba paja sin saber el porque decía lo que decía.
pd: nunca supe de tus comentarios aquí porque no me acuerdo pero algún recuerdo tenía que inventarme de ti ahora que ya no estarás
#6 ha llegado a portada