¿Por qué los teléfonos Android representan un peligro para la seguridad?

PlaceRaider activa la cámara de un teléfono y hace que tome fotos de forma casi constante. El creador del código malicioso utiliza las fotos para crear una imagen tridimensional de la ubicación del teléfono sin el conocimiento del propietario y evadiendo las medidas de seguridad físicas y personales.

PlaceRaiders demuestra un problema importante de las cámaras de los smartphones. Los permisos de acceso que PlaceRaider necesita no son diferentes a los de las típicas “aplicaciones inocentes de las cámaras”, dice el Centro Naval, de modo que un usuario podría instalar voluntariamente una aplicación “segura” de una tienda de aplicaciones oficial sin pensar en las implicaciones. Sería difícil para los dueños de los teléfonos infectados saber también qué está sucediendo, pues el primer indicio probablemente sería un exceso de cargos por datos en la factura mensual.

Ahora, si el teléfono está en un bolsillo o un estuche, el riesgo es bajo, pues la cámara probablemente no tome imágenes que sean de utilidad. El riesgo se manifiesta cuando alguien que está usando el teléfono y la cámara puede ver lo que hay alrededor. Con un viejo teléfono que no puede realizar múltiples tareas al mismo tiempo, el riesgo de exposición es limitado, pues el teléfono no debería ser capaz de ejecutar el código malicioso mientras está en una llamada. Incluso para los teléfonos que no pueden procesar los datos y las llamadas de voz al mismo tiempo, el riesgo es real, ya que el teléfono no puede guardar en caché las fotos y después enviarlas cuando puede hacer una llamada de datos.

Aunque el riesgo con esta aplicación particular es únicamente visual, el malware que rastrea el audio podría infectar a todos los teléfonos que corren Android 2.3 – la versión con la que trabajaron los investigadores – y escuchar todas las conversaciones privadas que ocurran dentro de su rango. Además, algunos de estos teléfonos han hecho avances importantes en la cancelación del ruido que incluso pueden hacer que las conversaciones en un espacio lleno de gente se entiendan sin problema.

La actitud de Google hacia la privacidad no es lo mejor

Si bien es prácticamente imposible que la Marina de Estados Unidos libere esta aplicación al mercado, es probable que otros grupos puedan lanzar una aplicación similar – después de todo, la capacidad de captar a una celebridad o a un político accidentalmente pueda tener un impacto en las noticias, o revelar información crítica sobre un gobierno extranjero, el partido político rival o el competidor, otorga un gran poder. También sugiere que cualquier teléfono puede potencialmente estar en riesgo, y que la única solución adecuada a largo plazo podría ser la capacidad de asegurar que el software de monitoreo no pueda usarse en los teléfonos en áreas seguras.

¿Cualquier teléfono? Los investigadores dicen que PlaceRaider o un código malicioso similar podría correr sobre las plataformas iOS, Windows Phone y Blackberry, pero la naturaleza de sus tiendas de aplicaciones hacen cada vez menos probable que dicha aplicación “se cuele” y esté disponible para descargarse. Eso sucedió con la tienda Google Play a principios de este año, cuando 100 mil dispositivos Android se infectaron con malware después de que los usuarios descargaron juegos móviles, y que vino después de un reporte decía que Bouncer, el sistema de detección de código malicioso de Google, era fácil de crackear.

Google no tiene tampoco muy buena reputación. Dada la historia de la compañía con sus mapas y su despreocupación respecto a la privacidad – ambos ejemplificados en los incidentes de espionaje de Google Street View – es muy posible que una aplicación como esta pudiera hacerse pasar como una función para la navegación en interiores. (Google Maps ya ofrece planos de pisos interiores de aeropuertos, centros comerciales y ciertas tiendas).

Los teléfonos Android representan un riesgo inaceptable

En otras palabras, la plataforma Android es inaceptable en cualquier área donde la privacidad sea una preocupación.

Los teléfonos al que les hayan abierto las bandas, usan aplicaciones que se cargan a hurtadillas que evaden a la tienda Google Play, o vienen de proveedores que se han plantado agresivamente contra el hecho de que la privacidad personal debería negarse por parte de las políticas de BYOD corporativas a menos que su seguridad pueda garantizarse por algún otro proceso. Si bien cualquier práctica pudiera parecer en retrospectiva negligente, parecer negligente pudiera ser la menor de las preocupaciones si sus comentarios desafortunados o videos se vuelven virales.

Rob Enderle, CIO EE.UU.