Protección contra Malware Android: Estos «antídotos» funcionan de verdad

AndroidPIT security 3870
© nextpit

Cada dos o tres meses aparece un fallo de seguridad en Android que supuestamente afecta a cientos de millones de teléfonos. En los últimos años, por ejemplo, Quadrooter y Stagefright. Aunque estos agujeros de seguridad son considerablemente distintos. ¿Cómo de seguro es Android con sus propios medios de protección? ¿Qué funciona realmente contra los peligros de Internet?

En el caso de Quadrooter se trata de varios agujeros de seguridad en los controladores de Qualcomm que causaron furor durante el «culebrón del verano» de 2016. Unos 900 millones de dispositivos Android se vieron afectados. ¡Peligro! ¡Peligro! Así reaccionaban, al menos los que lo descubrieron. Para explotar este agujero de seguridad de Quadrooter, el atacante tiene que conseguir instalar y ejecutar en un smartphone una aplicación especialmente desarrollada para ello.

El agujero de seguridad Stagefright funciona de una forma totalmente diferente. Este se encontraba oculto en las funciones de procesado de archivos multimedia y streams. El problema: incluso un vídeo de un MMS se colaría a través de estas rutinas. Así pues, el atacante puede enviar al usuario un archivo y este peligroso código se ejecutará. Desde Android 4.0, gracias a las medidas de protección internas del sistema, son más difíciles de explotar los agujeros de seguridad, aunque no es imposible.

La diferencia entre ambas vulnerabilidades es obvia: Quadrooter requiere unos pocos pasos por parte del usuario, mientras que Stagefright se puede utilizar de forma remota y sin la intervención del usuario.

¿Qué medios de protección existen contra los agujeros de seguridad del estilo de Stagefright, Quadrooter y compañía?

Android tiene varias maneras de garantizar la seguridad de los usuarios. Os presentamos las tres medidas más importantes en detalle.

Antídoto número uno: Evitar la instalación de aplicaciones desconocidas

En los ajustes del sistema de Android existe una opción para permitir o denegar la instalación de aplicaciones de orígenes desconocidos. Con la configuración de fábrica, esta opción está desactivada, por lo que solo podéis instalar aplicaciones desde la Play Store. Algunos fabricantes instalan su propia tienda de aplicaciones, por ejemplo, Samsung con las Galaxy Apps. En este caso, no es posible aplicar esta restricción en la opción de la configuración.

Esta opción protege, con una medida bastante simple, contra el malware que se distribuye a través de tiendas de aplicaciones no confiables o simples páginas web, en concreto contra la principal fuente de este tipo de ataques. Esto se debe a que estas aplicaciones suelen desaparecer muy rápidamente de la Play Store. Además, es bastante inusual oír noticias sobre malware en la Play Store.

Sin embargo, es necesario activar la opción de orígenes desconocidos para utilizar las App-Stores de Amazon o incluso para otras alternativas como F-Droid. Entonces, ¿qué podemos hacer?

Antídoto número 2: Escáner de virus de Google para verificar las aplicaciones

Google ha trazado una segunda línea de protección que no presenta problemas de compatibilidad y que ofrece protección contra aplicaciones maliciosas: la verificación de las aplicaciones.

Desde Android 4.2, esta configuración está disponible y ya forma parte de los Google Play Services. Por defecto, esta opción está activada y así deberíais dejarla. Con este ajuste, se permite que el sistema verifique las aplicaciones antes de su instalación en busca de posibles funciones malware. Si este es el caso, Android impide su instalación. Al menos en teoría.

Así pues, Quadrooter no tiene ninguna posibilidad contra esto. Google confirmó a AndroidCentral, unos pocos días después del descubrimiento, que un malware basado en Quadrooter no se puede instalar, siempre y cuando la opción correspondiente esté correctamente configurada. El jefe de seguridad de Android, Adrian Ludwig, se pronunció en unos términos muy similares respecto al conocido malware Gooligan, descubierto en diciembre de 2016, y que ataca a las cuentas de Google. ¿Qué hay detrás de este mensaje tranquilizador?

En el Android Security Report 2015 (dado a conocer en abril de 2016) se puede leer que con esta técnica la amenaza para los usuarios de Android podría reducirse significativamente. Con esta característica, Google podría, sobre todo, eliminar el caldo de cultivo para este tipo de aplicaciones malware.

Y esta medida se ha ido mejorando desde las primeras versiones. La verificación de la aplicación funciona básicamente mediante el cálculo de la huella digital (valor hash) de un archivo APK. Esta se compara con la base de datos de Google, que contiene datos sobre los peligros potenciales. Google no solo explora aplicaciones de la Play Store, sino también archivos APK que están disponibles en Internet. Esta sencilla forma es bastante eficaz, ya que aproximadamente el 90 por ciento de todas las aplicaciones que se pueden instalar fuera de la Play Store ya son conocidas por Google y se analizan en busca de posibles problemas de seguridad.

Además, Google puede extraer de las aplicaciones características individuales y someterlas a un proceso muy similar. De este modo, Google reconoce características peligrosas y puede advertir al usuario, cuando sea necesario, e incluso impedir la instalación de una aplicación de este tipo. Mientras tanto, Google escanea, incluso durante su funcionamiento, las aplicaciones instaladas. De esta forma puede avisar sobre la manipulación posterior de una aplicación instalada. En casos extremos, existe incluso la posibilidad de eliminar aplicaciones del teléfono, aun cuando estas han sido instaladas con permisos de administrador en el dispositivo.

Sin embargo, con la verificación de las aplicaciones, Google no puede proteger contra los ataques de los malwares recién aparecidos. Aunque en unas pocas horas, o en unos días como mucho, todos los usuarios de Android están protegidos contra la instalación de aplicaciones malware, como por ejemplo Quadrooter. La Play Store dispone además de algunas medidas de protección similares. Google también analiza el comportamiento de los desarrolladores registrados y puede evitar las posibles malas intenciones de dichos desarrolladores de aplicaciones.

Tranquilizado por esta información, me decidí a hacer la prueba. ¿Por qué no intentar poner a prueba esta protección? Así que active la opción de instalar fuentes desconocidas, instalé (como método de verificación cruzada) varios escáneres de virus de la Play Store y me puse manos a la obra (en un alarde de imaginación por mi parte) a buscar el Super Mario Run para Android (al parecer, sus descargas más recientes están llenas de malware). ¿El resultado? La instalación se llevó a cabo sin problemas, varios escáneres de virus me advirtieron de una amenaza o peligro. Al mirar detenidamente, se me ha colado un adware que al parecer puede crear «un comportamiento no deseado» durante el uso cotidiano. Aparentemente, no se trata de un astuto malware que amenaza mis datos o mi factura del teléfono. No recibo ninguna advertencia por parte Google.

Mi pequeño experimento lo demuestra: al sistema de verificación de aplicaciones Google se le cuela alguna que otra aplicación. Lo que no queda claro es si se trata de algo hecho a propósito. Es razonable pensar que Google no clasifica ciertas formas de adware como una amenaza, sino que su objetivo es buscar ciertas aplicaciones peligrosas en concreto, antes de hacer saltar las alarmas.

Antídoto número tres: Parches de seguridad actuales

Ahora bien, Android está basado en Linux y por lo tanto todavía existe una tercera capa de protección para los usuarios: un sistema operativo completamente actualizado y con los parches correspondientes sigue siendo la mejor protección.

El agujero de seguridad extremadamente peligroso que supone Stagefright ha sido solventado por Google de una forma totalmente innovadora: desde entonces hay actualizaciones de seguridad mensuales para Android. Hasta la fecha han aparecido 18 de estas colecciones de parches. Para entender por completo el funcionamiento, hay que saber que Google ofrece estos parches no solo para la última versión de Android, sino que los parches (si es necesario) se publican incluso para las versiones anteriores a Android 4.4.

Por lo tanto, puede llegar a suceder que un teléfono Android Marshmallow se encuentre en un estado de seguridad superior a otro con Nougat. El estado de actualización de los parches de seguridad del Moto Z con Android Nougat está, por ejemplo, en noviembre de 2016, mientras que el Galaxy S7, con su actual firmware Marshmallow está actualizado hasta diciembre de 2016. Lo importante para evaluar la seguridad es el estado de los parches de seguridad.

Antídoto general: La propia responsabilidad es insustituible

Probablemente, un cuarto «muro de contención» es, por supuesto, el propio usuario. Quien desactive o ignore todas las medidas de seguridad comentadas anteriormente, descargue archivos APK de un SMS en un dudoso español, los instale y envíe códigos como un loco a números anónimos, está atentando contra todas las reglas de seguridad que se puedan pensar.

¿Y qué hay de mi búsqueda de la APK del Super Mario Run? El juego no ha sido lanzado todavía, así que no debería instalarlo, especialmente si me llega a través de WhatsApp o de un anuncio publicitario.

Por lo tanto, mucho cuidado y nada de tomar en serio supuestas advertencias por correo electrónico, SMS o WhatsAp: usar la cabeza y actuar de forma responsable es siempre una buena idea (y no solo en lo que a la seguridad del smartphone se refiere).

¿Son necesarias las aplicaciones de seguridad para Android?

Mi pequeño experimento comentado anteriormente lo deja claro. Varios de los escáneres de virus que me instalé me avisaron de la presencia de adware. En el informe de seguridad de Google se habla más sobre aplicaciones potencialmente peligrosas. Los desarrolladores de antivirus hablan, sin embargo, de aplicaciones potencialmente no deseables, lo que supone un umbral inferior y puede englobar a más aplicaciones.

Dicho sea de paso, habría estado protegido de este adware, si no hubiera permitido la instalación de orígenes desconocidos. Otro aspecto a considerar es que, por supuesto, existen otras amenazas para los usuarios de Android. Al mirar las descripciones de los diferentes paquetes de seguridad en la Play Store salta a la vista que las funciones de escaneo de virus son solo una pequeña parte. Son mucho más útiles las funciones de protección de datos y la protección contra ataques a través del navegador web y correo electrónico. Así que hay argumentos más que de sobra en favor de utilizar un escáner de virus.

Resumen de los valores para configuración de seguridad

A continuación, una lista resumida con los valores recomendados para las medidas de seguridad y la configuración. Antes que nada, los ajustes del sistema importantes:

  • Seguridad > Orígenes desconocidos: mejor no permitir, o después de una instalación volver a prohibir
  • Google > Seguridad > Comprobar aplicaciones
    • Buscar amenazas de seguridad en el dispositivo: dejar activado
    • Mejorar la detección de aplicaciones dañinas: ayuda a Google a reconocer aplicaciones que no han sido escaneadas todavía. Opcionalmente activar.

Parece especialmente recomendable un antivirus si descargáis a menudo aplicaciones de orígenes desconocidos. Además, instalad las actualizaciones de seguridad tan pronto como aparezcan en vuestro teléfono. ¿Vuestro fabricante no proporciona actualizaciones? ¿O lo hace con retraso? Escribid al fabricante que debe reconsiderar su política de actualizaciones.

Conclusión: Android es seguro, pero no al cien por cien

Volviendo a la pregunta original: ¿Quadrooter afectó realmente a 900 millones de dispositivos? En teoría, debido a la vulnerabilidad de los agujeros de seguridad: sí. Sin embargo, las medidas de protección por parte de Google deben haber reducido este número rápidamente. Precisamente en Europa, la mayoría de los teléfonos se venden con los servicios de Google, por lo que fundamentalmente solo los smartphones asiáticos son los últimos que quedan sin addons de Google. Y quien no permita instalar aplicaciones de orígenes desconocidos no se verá afectado, (y por tanto no es realmente vulnerable debido a los agujeros de seguridad).

Pero esto también significa otra cosa: Quadrooter no amenaza, ni de lejos, a cientos de millones de teléfonos, sino a un número de usuarios mucho más reducido. Naturalmente, la pregunta es si la verificación de aplicaciones realmente puede detectar todos los exploits Quadrooter. Esto requeriría una prueba más extensa con las correspondientes aplicaciones. Pero estoy dispuesto a aceptar la llamada a la calma por parte de Google: las correspondientes manifestaciones de Google son muy concretas y claras.

Stagefright, sin embargo, solo se puede remediar con un parche de seguridad. De hecho, en este caso la mayoría de teléfonos eran vulnerables, de modo que los operadores desactivaron temporalmente el servicio MMS. Por el contrario, Google recomienda que las aplicaciones de mensajería, no procesen los datos multimedia de forma automática. Lo perverso de Stagefright: quien tenga una versión antigua de Android sin los anunciados parches de seguridad al nivel correspondiente, todavía está afectado por el agujero de seguridad. A día de hoy estamos hablando principalmente de usuarios que utilizan Android 4.3 y anteriores, aunque también los smartphones Kitkat y Lollipop siguen siendo probablemente vulnerables.

No obstante, Google ha aprendido de Stagefright y va por el buen camino con los parches de seguridad mensuales. Ahora queda mejorar la distribución de actualizaciones. Para ello se debe pedir a los fabricantes que también distribuyan las actualizaciones al usuario.
 

Notificación push Artículo siguiente
4 Comentarios
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición

  • 5
    Agustin Valencia 26 ene. 2017 Link al comentario

    Muy buen artículo! Sobre todo porque es ponderado.

    Creo que la industria se está "acostumbrando" a anunciar el fin del mundo por cada vulnerabilidad que aparece y la gente de acaba insensibilizado al ver que su día a día no varía.

    Sí es bueno ver que los desarrolladores -microsoft, Apple, Google principalmente- cada vez tardan menos en sacar parches contra las nuevas vulnerabilidades.

    Sin embargo,lo dicho aquí se debe repetir una y otra vez, que no es otra cosa que sentido común.

    Por cierto, para los que dicen que mejor sin antivirus,otra vez el sentido común. El medio móvil tiene cada día más similitudes con el mundo real, tener antivirus es como subir las defensas en tu organismo, es más difícil que tengas la gripe o un catarro si tienes las defensas altas!

    Internetymenores.blogspot.com


  • 37
    Cuenta desactivada 25 ene. 2017 Link al comentario

    Hola Hanz
    Hay algo que deberiamos hacer y es descargar las APPs solamente de lugares conocidos y no de cualquier web para que no entren virus

    No es necesario que instalemos Antivirus ya que ocupa mucho sitio y somos nosotros los que dejamos las puertas abiertas para que se nos infecte el móvil.

    También son importantes las actualizaciones. Lo que ocurre es que hay algunos móviles a los que no les llegan ni los parches. Un saludo
    Una Donostiarra 😉

    Daniel


  • Ramon A. 35
    Ramon A. 25 ene. 2017 Link al comentario

    Lo que está claro es que el miedo genera mucho dinero y nos creemos cualquier cosa que nos digan. Instalamos antivirus, limpiadores, taskkillers....que no hacen nada más que consumir batería y recopilar datos pero, así, nos sentimos protegidos ante amenazas inciertas. Un saludo.

    Cuenta desactivada


  • Marcelo V. 21
    Marcelo V. 25 ene. 2017 Link al comentario

    Los smartphone mas expuestos son los que estan rooteados. Lo que tambien se puede hacer es instalar un antivirus serio, y legal (la mayoroa se niegan a pagar, y por eso son vulnerables)

Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición