Los errores no funcionan, ¡aparentemente!

Negocios
Rik Ferguson Trend Micro

Tras las afirmaciones de Eric Schmidt de que Android es más seguro que iOS, Rik Ferguson, director de investigación en Trend Micro, cuestiona la seguridad de ese sistemas operativo.

La seguridad de Android es un tema controvertido. Recientemente, Eric Schmidt, presidente de la junta directiva de Google, declaró que Android era más seguro que iOS, el sistema operativo de Apple, aunque no ofreció argumentos concretos o verificables sobre los que basaba sus comentarios. Esta declaración ha sido considerada como desinformación deliberada por algunos, mientras que otros la califican de salida de tono sin mayor importancia.

Recientemente, una fuente con más conocimiento en la materia, Adrian Ludwig, director de seguridad de Android en Google, durante su participación en la conferencia Virus Bulletin de Berlín, se refirió a este tema. Ludwig apuntó que un número considerablemente reducido de aplicaciones maliciosas logra penetrar las capas de seguridad de Android, y que Google no siempre está de acuerdo con las empresas de seguridad informática en la definición que hacen de “apps potencialmente dañinas”,  y que tales empresas carecen de cifras fiables sobre índices de infección.

Si las palabras de Schmidt han producido risa o indiferencia en algunos, el análisis realizado por Adrian Ludwig ha provocado otro tipo de respuestas más argumentadas en otros.

A continuación expongo mis argumentos:

En la ponencia: “Android, seguridad práctica desde la base”, Adrian Ludwig utiliza un acceso sin precedentes a los datos de Google relacionados con las aplicaciones instaladas en dispositivos Android para llegar a la conclusión de que sólo el 0,001% de las apps logran traspasar “las múltiples capas de seguridad” instaladas por la compañía en Android y que finalmente, causan daños al usuario. Ésta es una declaración impresionante, al tratarse de un sistema operativo tan extendido y que se ha convertido en el blanco de los delincuentes.

Según la presentación, dichos niveles de seguridad son: Google Play, alertas de fuentes desconocidas, confirmación de instalación, consentimiento de Verify Apps, advertencias de Verify Apps, análisis del tiempo de ejecución y de sandbox basado en permisos en el que cada aplicación debe operar. Si entiendo correctamente las diapositivas, entonces, en términos de usuario, equivale a decir: Google Play, un cuadro de diálogo, Verify Apps, un cuadro de diálogo, el análisis del tiempo de ejecución y un cuadro de diálogo.

Si bien la tecnología Verify Apps de Google representa un gran avance, sobre todo ahora que se ha desacoplado del sistema operativo  en sí, hay un montón de aplicaciones maliciosas que están fuera de la tienda de Google Play. De hecho, en el último recuento (12 de octubre 2013) algo más del 46% de las aplicaciones que Trend Micro ha clasificado como ” maliciosas” (dejando a un lado las de alto riesgo) proceden directamente de Google Play. Cuando se trata de advertencias de fuentes desconocidas, el diálogo de confirmación de la instalación y los permisos/advertencias sandbox, es casi como decir que no sólo  los desarrolladores hacen aplicaciones de forma masiva, sino también que los usuarios finales rara vez leen las preguntas que se les hace, y mucho menos entienden las posibles consecuencias de los permisos que están otorgando. Esto constituye un gran problema y un desafío al mismo tiempo. ¿Quién necesita forzar una entrada cuando tiene un permiso previo del usuario? Las preguntas respecto a los permisos de aplicaciones sólo se realizan una vez, y no pueden ser anuladas posteriormente. Se trata de todo o nada, y los desarrolladores de aplicaciones a menudo fomentan esta cultura de hacer clic en “siguiente, siguiente, siguiente” tan típica y asentada en el mundo de la informática tradicional.

Aparte del hecho de que un gran número de estas capas de seguridad se deja totalmente en manos del usuario final en forma de una ventana o cuadro de diálogo, hay otras trampas potenciales ocultas. En ninguna parte de los datos disponibles he visto indicaciones sobre la cantidad de aplicaciones que en realidad Google considera maliciosas, o de los niveles de distribución proactiva. Por supuesto, si su biblioteca de aplicaciones maliciosas y de alto riesgo es limitada, entonces el número de instalaciones maliciosas a notificar también será más bajo. No estoy diciendo que Google no tenga una biblioteca fiable de este tipo de aplicaciones, no lo sé. Lo que sí digo es que la presentación de la cifra de instalaciones maliciosas reconocida, sin el contexto de la biblioteca de software malicioso, deja un bonito y gran agujero en la conclusión de que aplicaciones maliciosas no están teniendo éxito.

No voy a rehuir de las estadísticas que me gustaría ver de Google. Hasta ahora, Trend Micro ha analizado 3,7 millones de aplicaciones y actualizaciones para Android, y esta cifra está creciendo a diario. De estas aplicaciones, el 18% se han clasificado como maliciosas y otro 13% están consideradas de Alto Riesgo. Como he mencionado antes, poco más de 46% de las aplicaciones maliciosas proceden directamente de Google Play.

Si no sabes lo que estás buscando, no es de extrañar que no lo encuentres, tal y como ilustra el test de conocimiento a continuación: http://www.youtube.com/watch?v=Ahg6qcgoay4

En cuanto a la afirmación de Eric Schmidt en Gartner Symposium, voy a dejar la última palabra al conocido Charlie Miller …”Como alguien que ha escrito exploits para ambas plataformas, permítanme decir  “no”.


Leer la biografía del autor  Ocultar la biografía del autor