iPhones, BlackBerrys y Droids se convierten en un verdadero fest?para los atacantes
Desde la introducci?el iPhone en 2007, los tel?nos m?es siguen una tendencia clara de evoluci?ara convertirse en verdaderas computadoras de mano, con sistemas operativos complejos, la capacidad de ejecutar m?ples aplicaciones y almacenar grandes cantidades de datos. Y desde entonces, los investigadores han dicho que los atacantes comenzar? a centrarse en las plataformas m?es tan pronto como pudieran encontrar una forma de hacer dinero con ellas. Al parecer ese momento ha llegado.
Leer m?por vuestra seguridad…
CarlosUES
La aparici?a semana pasada del troyano Android SMS, que dispara m?ples mensajes de texto a n?os Premium controlados por los atacantes, es el ?mo, y quiz?el m?destacado ejemplo de los esfuerzos de los grupos criminales en l?a para ganar dinero a trav?de ataques a los dispositivos m?es. Pero el troyano Android no es el primero de estos ataques y que definitivamente no ser?a ?ma, dicen los expertos.
«Creo que va ir? junto con la penetraci?n el mercado de los tel?nos inteligentes. Entre mayor sea el porcentaje de tel?nos inteligentes, vamos a ver m?ataques», dijo Tyler Shields, un investigador de seguridad en Veracode. «Esas cosas seguir?aumentando porque estamos viendo una alta calidad de los objetivos. Todo el mundo y hasta sus abuelas est?comprando un tel?no inteligente, y es porque quieren las aplicaciones. Han golpeado ese punto de inflexi?Es un mercado sin explotar, en el que nadie hace seguridad «.
El troyano SMS de Android, que se conoce como FakePlayer, es una variante de un fraude que es bastante com?n Europa del Este y Rusia. Los fraudes suelen incluir un ataque de descarga de archivos en d? una pieza de malware es cargada en una PC. El software malicioso, llama a un bloqueador de SMS, posteriormente act?omo una pieza normal de ransomware, generando alertas que indican que el usuario deber?nviar un mensaje SMS a un n?o con tarifa especial a fin de eliminar los cuadros de di?go y el ransomware. Otras variaciones muestran una foto pornogr?ca o una advertencia de que la licencia del usuario de Windows ha expirado. Pero la demanda es la misma: un mensaje SMS a un n?o que puede llegar a costar 10 d?es americanos.
La aparici?el troyano FakePlayer Android puede ser visto como la apertura de un nuevo frente en la guerra entre los atacantes y los defensores. El troyano no es realmente una pieza de malware en el m?estricto sentido de la palabra. No se necesita aplicar alguna acci?aliciosa en el propio dispositivo, no realiza ning?ambio en sistema operativo del tel?no inteligente o elimina datos. En su lugar, FakePlayer tiene un ?o objetivo: dinero en efectivo.
La evoluci?e los ataques y el malware que tiene como objetivos los dispositivos m?es es paralela a la historia de los ataques en los equipos personales, pero los atacantes se est?moviendo a un ritmo mucho m?r?do que la velocidad a la que se desarrollaron nuevas t?icas para comprometer equipos de escritorio. La innovaci?ue est?curriendo en los ataques m?es est?ejando atr?las defensas por un amplio margen en este momento, y gran parte de ello se entrega directamente a los desarrolladores de las plataformas de tel?nos inteligentes – Apple, Google, RIM, etc. – que est?cometiendo exactamente el mismo error que los vendedores de software de PC hicieron hace d?das: adicionar m?caracter?icas a la plataforma y prestar poca atenci? la seguridad.
«Existe un claro paralelismo entre lo que est?asando en la plataforma m? y los ataques realizados a PCs en los d? de los gusanos flash. Las personas prueba las dive6rsas plataformas, como IIS y SQL Server, para ver lo que era posible», dijo Jon Oberheide, un investigador de seguridad y fundador de la empresa de seguridad Scio Security. «Los atacantes est?sintiendo y ven cu?o dinero se necesita para obtener un rendimiento sobre su inversi?Est?tratando de ver qu?roblemas pueden ser explotados».
Una de las razones por las que los atacantes recientemente han dirigido su atenci? los tel?nos inteligentes, es que los vendedores de software para equipos de escritorio, en particular Microsoft, han a?do mecanismos de seguridad que hacen las explotaciones m?dif?les. La adici?e las protecciones de memoria como ASLR (Address Space Layout Randomization) y DEP (Data Execution Prevention) a Internet Explorer dificultaron los ataques de corrupci?e memoria, con lo que se redujo los ataques basados en el navegador.
En las plataformas m?es, este tipo de mecanismos de seguridad son inexistentes o no se aplican plenamente. Y los ataques recientes han demostrado que el navegador m? en dispositivos como el iPhone se est?convirtiendo en vectores de ataque de primer nivel. El ejemplo m?destacado es el escenario de Jailbreakme.com, en la que un investigador cre? sitio que libera a los iPhones al juntar un par de vulnerabilidades previamente desconocidas que afectan el iPhone. La carga ? en este caso fue benigna – simplemente liberar el iPhone – pero un atacante f?lmente podr?haber creado un sitio similar que ofreceza una carga maliciosa.
«La actual cadena de explotaciones en ese caso no era trivial. Demostr?e una vez endurecido el Sistema Operativo surgen nuevos niveles de explotaci?ue hacen esto m?dif?l», dijo Oberheide. «Todos los mecanismos de endurecimiento de aplicaciones en los equipos de escritorio no son los mejores para los equipos m?es. Una gran cantidad de plataformas no est?tomando ventaja de esto. Tal vez necesitamos que los desarrolladores hagan esto pronto. Se podr?presentar como una ventaja competitiva».
Pero incluso en el caso de Jailbreakme.com, el retorno para la inversi?e tiempo y esfuerzo por parte del atacante puede ser bastante bajo, ya que depender?e atraer a los usuarios de iPhone a la p?na. Los ataques m?problem?cos y que se ejecutan f?lmente suponen obtener de forma simple una aplicaci?aliciosa en una de las tiendas de aplicaciones m?es, algo que ya se convirti? un problema.
Tanto Oberheide y Shields tienen experiencia en la ejecuci?e estos ataques, aunque con aplicaciones benignas para pruebas de concepto. Shields creo una aplicaci?sp?para el BlackBerry llamada txsBBSPY, que es capaz de interceptar mensajes de texto y mensajes de correo electr?o y rastrear la localizaci?el usuario. Posteriormente, fue capaz de colocar la aplicaci?n el mercado de aplicaciones BlackBerry App World con muy poco esfuerzo. Oberheide realiz? truco similar en Google Android Market, con una aplicaci?lamada RootStrap, que instala un rootkit en los dispositivos Android que peri?amente descarga el c?o ARM nativo desde un servidor remoto. La aplicaci?ue disfrazada como una vista previa de la pel?la Crep?lo, y m?de 200 personas la descargaron desde el Android Market.
Como est?las cosas, la relativa debilidad en la seguridad de las plataformas de tel?nos inteligentes, combinado con el problema de las tiendas de aplicaciones, est?haciendo que los iPhones, Blackberrys y otros dispositivos m?es se conviertan en los principales objetivos para los atacantes. Y los expertos no ven mucha esperanza en el horizonte.
«Hay un cuello de botella en las tiendas de aplicaciones. Los atacantes van a poner sus cosas ah? dijo Shields. «Los vendedores realmente tiene que hacer algunos an?sis para garantizar que las aplicaciones hagan lo que se supone que deben hacer. Pero es m?f?l decirlo que hacerlo. Si nos fijamos en la dificultad, lo que hice, fue el m?f?l de estos ataques, ¿Por qu?astar tiempo en la investigaci?vanzada de GSM, cuando se puede obtener una aplicaci?aliciosa en la tienda de aplicaciones con tanta facilidad? »
«No hay duda de que es f?l introducir algo en la tienda de aplicaciones. ¿Por qu?escubrir una nueva vulnerabilidad en Webkit para despu?explotarla y cargar un rootkit cuando se puede hacer esto?», dijo Oberheide. «Hemos aprendido mucho sobre el dise?e plataformas seguras en los ?mos a? pero tenemos el tradicional problema de enfocarnos en las caracter?icas en lugar de centrarse en la seguridad. Podr?os haber empezado con una plataforma muy segura, un n?o endurecido y una pila de aplicaciones. Podr?os haberlo hecho. Pero, en realidad, a nadie le importa lo que hacemos. Es deprimente. «