En la actualidad nuestros smartphones no son solo nuestras herramientas de comunicación, en ellos almacenamos información personal de todo tipo, fotos privadas, nuestra agenda diaria e incluso datos acerca de nuestras finanzas. Varias veces se ha mencionado que nuestros smartphones no son impenetrables y que son susceptibles a ataques informáticos que podrían significar una seria amenaza hacia nuestra privacidad. Pero ¿Qué pasa cuando las tres principales plataformas móviles de la actualidad: IOS, Android y Windows Phone, son víctimas de una misma vulnerabilidad que le permitiría a un tercero de adueñarse de la información personal que se encuentre almacenada en nuestro smartphone?
¿En qué consiste el problema?
Recientemente investigadores de la Universidad de California junto a investigadores de la Universidad de Michigan han descubierto una vulnerabilidad, que ellos creen, se encuentra en las tres principales plataformas móviles del momento, IOS, Android y Windows Phone. Aunque ellos solo han hecho pruebas con equipos corriendo Android, creen que dicha vulnerabilidad afecta a IOS y Windows Phone por igual ya que todas comparten una característica en común: todas las aplicaciones pueden acceder a la memoria compartida del dispositivo.
Para que el ataque se lleve a cabo el usuario debe de instalar una aplicación aparentemente inofensiva, por ejemplo un wallpaper cuentan los investigadores, pero en realidad dicha aplicación contiene el código malicioso necesario para llevar acabo el ataque. Una vez instalada, la aplicación puede ser usada para acceder a la información de la memoria compartida de cualquier proceso en el equipo, ya que no se requiere ningún tipo de permiso especial para ejecutar esa acción. De esta manera se puede monitorear cualquier cambio dentro de la memoria compartida del dispositivo para así poder perpetrar el ataque. Los investigadores fueron capaces de detectar, en tiempo real, el momento cuando el usuario se encuentra ingresando su información de acceso a alguna de sus aplicaciones bancarias o de correo electrónico y hacer que la aplicación maliciosa sustituya a la original y la información de acceso sea ingresada en ella.
Los resultados de las investigaciones
El asunto es de lo más alarmante, los investigadores hicieron pruebas extensas en siete aplicaciones, donde la aplicación de Gmail resulto ser la más fácil de vulnerar con una tasa de éxito que oscila desde un 82% hasta un 92%, en estas pruebas los investigadores encontraron que la aplicación de Amazon mostró un alto grado de resistencia a ser vulnerada resultando con solo un 48% de éxito usando este método. El investigador Zhiyun Qian aconseja que para disminuir la posibilidad de ser victimas de un ataque de este tipo, los usuarios deben de abstenerse de instalar aplicaciones de fuentes poco confiables, pues no hay ninguna garantía de que dicha aplicación no hubiera sido ya intervenida para poder hacer daño.
El tema de la seguridad y la privacidad personal cada vez se vuelve un tema más delicado y como siempre recomendamos solo descargar aplicaciones desde fuentes seguras como lo son la Play Store o la Amazon App Store, usando solo estas fuentes podemos prevenir el ser victima de esta vulnerabilidad y poner en serio riesgo la integridad y privacidad de nuestra información personal o financiera. Siempre debemos de recordar que el sentido común es uno de nuestros mejores métodos de seguridad sobre cualquier otra medida o aplicación que usemos en nuestro smartphone.
El equipo de investigadores que descubrió esta vulnerabilidad ha presentado toda la información detallada en un documento llamado, en inglés, “Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks“, dentro del marco de la USENIX Security Simposium ,simposio donde especialistas en seguridad informática se dan cita, y se llevó acabo el día 23 de agosto en San Diego California. Mas abajo podrán ver unos vídeos que ilustran la forma en como los investigadores condujeron algunas pruebas para ver la manera en como funcionan los ataques.
Via – CNET
-
-
-
-
