Una de las novedades de Android 4.2 (Jelly Bean) fue la verificación de aplicaciones para evitar que aplicaciones maliciosas se instalen en nuestros dispositivos, pero esta medida de seguridad ha dejado de ser exclusiva para esta versión de Android, ahora gracias a la última versión de Google Play services cualquier dispositivo con Android 2.2 o superior podrá analizar las aplicaciones en busca de malware.

Ahora cuando vayamos a instalar una aplicación desde una fuente desconocida, desde fuera de Google Play, nos saldrá una advertencia en el momento de instalarla para activar esta verificación para que Google pueda revisar las aplicaciones instaladas y las que vamos a instalar en busca de malware.

Google bloqueará y no nos dejará instalar las aplicaciones que detecte que sean dañinas para nuestros dispositivos Android. Podemos activar o desactivar esta vericación de aplicaciones desde la aplicación Ajustes de Google o si tenemos Android 4.2 o superior también lo podemos hacer desde Ajustes > Seguridad > Verificar Aplicaciones.

Se agradece que Google haya añadido esta medida de seguridad tan importante a versiones antiguas de Android, ya que de esta forma más del 98 por ciento de dispositivos Android tienen más protección contra el malware. Otra protección contra el malware es la que realiza Google en las aplicaciones que hay en Google Play.

En Xataka Android | Android 4.2 analizará las aplicaciones en busca de malware y evitará el envío de SMS sin permiso

Carbon Backup, la aplicación de ClockworkMod que nos permite hacer copias de seguridad de los datos de las aplicaciones de nuestros dispositivos sin necesidad de ser root ha cambiado hoy su nombre. Ahora se llama Helium, y el motivo de este cambio ha sido para evitar problemas legales.

Su desarrollador, Koushik Dutta, ha recibido una correo amistoso de Carbonite, un servicio para hacer copias de seguridad online, en el que le informan que el nombre de su aplicación podía confundir a los consumidores y hacerlos pensar de que se trata de un producto de Carbonite al tener un nombre similar. La recomendación era cambiar el nombre de Carbon y así lo ha hecho para acabar con el problema de raíz.

Con este cambio de nombre también se evita que su aplicación sea confundida con Carbon for Twitter, ya que las dos compartían el mismo nombre aunque tienen distinta funcionalidad.

Os recordamos que Helium cuenta con una versión gratuita en Google Play que nos permite guardar y restaurar nuestras copias de seguridad en la memoria del móvil y en el ordenador. La versión de pago que tiene un precio de 3,71 euros nos permite además guardar y restaurar los datos desde la nube (Dropbox, Box o Drive), programar copias automáticas y sincronizar los datos entre dispositivos Android. Es una de las mejores aplicaciones para copias de seguridad que hay actualmente para Android.

En Google Play | Helium
En Xataka Android | Carbon, la aplicación para hacer copias de seguridad sin root ya disponible en Google Play

Nos llega un aviso de A.G. sobre una aplicación engañosa en Google Play. Se trata de “Monopoly Gratis”, del desarrollador “JonyTech”. Al instalarla, la aplicación se lió a enviar SMS premium, y para cuando pudo pararla le habían cargado más de 7 euros en su factura. ¿Fallo de Google, por no revisar las aplicaciones? Quizás, pero sobre todo fallo del usuario.

Porque un momento, ¿los derechos de Monopoly no son de Parker, filial de Hasbro, y del cual Electronic Arts tiene una versión para Android debidamente licenciada? ¿Y si además miramos un poco que la aplicación tiene una valoración media de 1.9? ¿Y que los comentarios están llenos de quejas de otros que han picado antes? ¿Y si leemos en la propia descripción del juego, que “simula el Monopoly, pero no es el juego real, es una broma para la gente que no quiere pagar por el Monopoly”?

Amigo, tú has querido ir de listo y te ha salido por un pico. Pero es que es aún peor. Cuando vas a instalar una aplicación, lo primero que te aparece es la lista de permisos que requiere. Y en el caso de este “Monopoly gratis” la primera es “Servicios por los que tienes que pagar: Enviar SMS”. ¡La primera de la lista!

Piensa un poco: ¿para qué necesita un juego de mesa enviar SMS? ¿Para qué? ¿A que no tiene sentido ninguno? ¡Pues eso! ¡No la instales! Vale que no te leas toda la descripción del juego o los comentarios, pero por favor, los permisos de la aplicación son de obligada lectura razonada.

Ejemplo práctico. ¿Puede necesitar un juego de mesa conexión a internet? Bueno, si es gratuito, necesitará conexión para mostrar anuncios. ¿Puede necesitar acceder a tu agenda de contactos? Eso es menos razonable, porque quizás quiera enviar spam del juego a tus conocidos, además del lógico problema de privacidad. Pero lo de “Servicios por los que tienes que pagar” tiene que llamarte la atención sí o sí.

Sí, es cierto que Google debería revisar mejor las aplicaciones. Sobre todo aquellas que requieren permisos delicados, como esta estafa. Que lo es, por mucho que el “avispado” desarrollador “Jony Pastis” quiera llamarlo “broma”. Una broma es ponerle a un amigo la cara de Nicolas Cage como fondo de pantalla y en todos los iconos del escritorio. Esto es una estafa, y Jony se merece que lo empuren.

Pero amigos, en eso consisten las estafas. En aprovecharse del que quiere aprovecharse de otro. Y mi querido A.G., eso es justo lo que te ha pasado.

La próxima vez que quieras jugar al Monopoly (habiendo juegos de mesa infinitamente mejores), paga los 4.49 euros que cuesta, aprovecha la oferta del Monopoly Millonaire, que está ahora a 0.89 euros, o búscate un juego que ofrezca un reto intelectual más interesante. Pero lee la lista de permisos, piensa un poco, y no caigas en fallos como este.

En Xataka Android | Los permisos de las aplicaciones: falta diálogo entre desarrollador y usuario, ¿Qué pueden hacer las aplicaciones que no requieren permisos adicionales?

Si bien Android no se encuentra bien posicionado en el sector empresarial por aquello de la seguridad, Samsung está tomando sus propias cartas en el asunto con Knox, una solución para blindar sus dispositivos ante este tipo de amenazas en entornos corporativos Byod (Bring Your Own Device). Ya fue presentado durante el pasado MWC y se espera verlo en el Galaxy S4.

Pero vamos a tener que seguir esperando, y es que según el diario The New York Times, la disponibilidad de esta capa de software con cifrado bajo algoritmo AES-256 ha sido retrasada hasta verano.

Así, con esta herramienta siendo retrasada, Samsung estaría perjudicando sus intentos para reemplazar a Blackberry de una vez por todas como referente en el sector, sonando del mes de julio como fecha posible de lanzamiento. Aunque mencionan que:

“Todos los componentes de Knox vienen de serie con el dispositivo, con una activación de todas sus funciones por los proveedores de soluciones y canales de distribución estarán disponibles en una fecha más tardía.”

La razón no sería otra que el testeo de esta funcionalidad internamente y con las operadoras, que al parecer todavía no está completamente preparada.

Fuente | The New York Times vía SamMobile
En Xataka Móvil | Samsung KNOX, seguridad en entornos BYOD

Los usuarios de Android vuelven a estar amenazados por un malware bautizado como BadNews que está presente en 32 aplicaciones que hasta hace poco se distribuían en Google Play y que en su mayoría eran clones rusos de aplicaciones conocidas.

El malware, descubierto por la empresa de seguridad LookOut Mobile Security, se encarga de captar el números de teléfono y también el número de serie de nuestro dispositivo, y en ocasiones intenta impulsar la descarga de un troyano llamado Alpha SMS que utiliza nuestro móvil para cometer fraude de envío de SMS Premium en la Federación rusa.

Este malware se presentó a los desarrolladores como una red publicitaria para aplicaciones móviles, y puede que varias de las aplicaciones infectaras fueran aplicaciones normales para las que los desarrolladores simplemente cometieron el error de elegir esta opción a la hora de presentar sus anuncios.

La lista de 32 aplicaciones infectadas (provenientes de 4 desarrolladores distintos) ya ha sido retirada de Google Play, pero tal y como ha demostrado el estudio de LookOut, dichas herramientas fueron descargadas en total entre 2 y 9 millones de veces según los datos de descargas de la tienda online de Google, que dan poca precisión en ese sentido pero que dejan clara la gravedad de esta amenaza.

Más información | LookOut
Vía | Gizmodo
En Xataka Móvil | BadNews, nueva amenaza malware en Android, descargada millones de veces

Evidentemente siempre somos escépticos ante estudios sobre malware y virus realizados precisamente por empresas que se dedican a vender software antivirus. Sin embargo, en este caso no deja de ser curioso, pues la propia Symantec había afirmado en 2012 que Android era más inseguro que el sistema operativo móvil de Apple, iOS.

Ahora, en otro estudio más reciente, dicen Diego donde dijeron digo, y afirman que Android es más seguro al contar con menos vulnerabilidades que iOS, sólo que es mucho más atacado por los creadores de malware, haciendo que los casos de malware y virus registrados sean mayores en Android.

Hoy en día el número de malware en los sistemas operativos móviles no está estrechamente relacionado con las vulnerabilidades. De hecho, mientras que iOS ha mostrado un número muy amplio de fallos de seguridad durante 2012, sólo se detectó una amenaza que resultase gravemente maliciosa. En el mismo año, Android mostró sólo 13 vulnerabilidades reales, aunque el número de aplicaciones maliciosas o infectadas, además de virus, ha sido muy superior. Las vulnerabilidades son siempre un factor muy determinante para la proliferación del malware, aunque la gran cuota de mercado de Android y la apertura de la plataforma con las múltiples posibilidades de instalación de software, hacen que los creadores de malware se sientan atraídos.

Así reza una parte de las conclusiones del estudio de Symantec, un resumen que nos deja un escenario parecido al encontrado durante muchos años en las plataformas de escritorio, donde Apple casi no sufría por el malware y Windows vivía atemorizado con ello.

Es evidente que a cuantos más usuarios y menos avanzados contemos aumentan los riesgos, aunque nosotros no hemos advertido problemas excesivos de seguridad en Android si no instalamos aplicaciones de fuentes inseguras, que quizás sea el mayor problema de seguridad en la plataforma móvil de Google.

Como siempre decimos en estos artículos, tened cuidado de leeros los permisos que solicitan las aplicaciones, y no instaléis APKs recogidos en páginas web que no sean de confianza, así os evitaréis muchos sustos.

En Xataka Android | Hackeando aviones comerciales con Android
Vía | TechCrunch

Aunque la noticia sea algo tétrica, es de agradecer que en Google hayan realizado las gestiones para que las cuentas que tengamos en sus servicios se eliminen tras nuestra muerte, aunque esa gestión también se aplica en las cuentas con periodos de con cierta inactividad.

El llamado Gestor de Cuentas Inactivas es un servicio que permite que podamos establecer un periodo tras el cual Google se encargará de avisarnos, de notificar a contactos de confianza que ya no estamos usando la cuenta, e incluso de borrar la cuenta tras esos periodos.

Pocos servicios en Internet toman en cuenta este hecho, y de hecho la cuestión de qué ocurre con nuestras cuentas en este servicio si morimos es recurrente. Google permite con esta herramienta solventar el problema y establecer periodos de inactividad tras los cuales quedará claro que la cuenta puede eliminarse.

El servicio trabaja con las cuentas en Blogger, los contactos, los Círculos de Google+, nuestros perfiles en esa plataforma social, los Álbumes Web de Picasa, Google Voice, YouTube, Drive y Gmail. Podremos o bien permitir que contactos de confianza obtengan los datos de esas cuentas (una opción muy a tener en cuenta) o bien borrar directamente esas cuentas pasados 3, 6, 9 o 12 meses.

Eso sí, Google enviará un correo antes de eliminar esas cuentas a nuestro contacto de confianza para certificar que la persona asociada a esa cuenta ya no está viva, aunque obviamente pueda ocurrir que simplemente ha dejado de utilizar esa cuenta durante largo tiempo y ya no le interesa.

Más información | Gestor de Cuentas Inactivas
Vía | Google Public Policy Blog

Un experto en seguridad llamado Hugo Teso demostró en las conferencias Hack In The Box en Amsterdam cómo es posible intervenir los sistemas de navegación de los aviones comerciales con un terminal Android.

Este consultor de seguridad explicó durante su conferencia lo inseguros que son los sistemas de comunicación y control de los aviones, y que teóricamente sería posible tomar el control completo de uno de estos aviones a través de un smartphone con Android.

Teso lleva trabajando en tecnologías de la información durante 11 años, pero además también se ha formado como piloto comercial, y ha combinado ambos intereses para ilustrar claramente el lamentable estado de la seguridad de los sistemas computacionales en la aviación comercial.

Teso realizó una demostración con un entorno virtual que emulaba los sistemas de comunicación del avión de forma precisa, y a partir de ahí creo un framework llamado SIMON para aprovechar las vulnerabilidades y una aplicación Android llamada PlaneSploit que envía mensajes que aprovechan las vulnerabilidades de los Sistemas de Gestión de Vuelo, demostrando que era posible tomar control completo de los “aviones virtuales” y hacer que “bailasen a su ritmo”.

El entorno de pruebas SIMON está deliberadamente implementado para funcionar en entornos virtuales y no puede ser aprovechado en aeronaves comerciales reales, y aunque sus tests de laboratorios se basan en productos hardware y software que emulan todos los sistemas de un avión, los métodos de conexión y comunicación y las formas de explotar esos sistemas son idénticos a los que tendrían que utilizarse en un escenario real.

Más información | Net-Security
Vía | Menéame

Un grupo de investigadores de la Universidad de Hannover ha estudiado diversas aplicaciones que se encargan de ofrecer una gestión de contraseñas en smartphones basados en Android, y en todos los casos se demostró la inseguridad de los métodos de gestión de contraseñas.

En las pruebas con 13 gestores de contraseñas gratuitos y 8 propietarios en un Galaxy Nexus basado en Android 4.0 quedó claro que la falta de una API segura que transfiera contraseñas entre aplicaciones hace que sea muy complicado escribir una aplicación realmente segura en este segmento.

Los investigadores detectaron que las reglas de los gestores de contraseñas en smartphones son distintas a las presentes en los PCs y portátiles, ya que en Android estas aplicaciones no pueden conectarse directamente al navegador o las aplicaciones.

Cuidado con el portapapeles

Android no proporciona una API para integrar gestores de contraseñas en navegadores o aplicaciones y los desarrolladores tienen que resolver el problema con un método inseguro: utilizan el portapapeles (clipboard) del sistema operativo para ofrecer esas credenciales.

Los usuarios también usan ese portapapeles para copiar las credenciales de inicio de sesión desde los gestores de contraseñas y luego pegarlas en las aplicaciones y el navegador. Esto representa un problema, ya que el portapapeles es un recurso global al que se puede acceder sin permisos específicos. De hecho hay un servicio de notificación que permite que las aplicaciones tengan conciencia de cambios en el portapapeles a través de la llamada android.content.ClipboardManager.OnPrimaryClipChangedListener.

Esta circunstancia puede ser aprovechada por malware que esté “a la escucha” de lo que ocurre en el portapapeles. Los investigadores escribieron un programa de prueba llamado PWSniff que precisamente implementó dicha funcionalidad con éxito.

Comodidad por encima de seguridad

El grupo de investigadores se puso en contacto con todos los desarrolladores de esas aplicaciones de gestión de contraseñas para comentarles sus conclusiones, y en todos los casos excepto en uno dejaron claro que preferían que estas aplicaciones fueran amigables para el usuario en lugar de proporcionar mecanismos realmente seguros. Todos criticaron la falta de soporte de esta función en la API de Android.

Aún así, explicaba uno de ellos, esa seguridad que ofrecía su aplicación era mayor que la que proporcionaba la creciente reutilización de contraseñas nativa de Android que probablemente se da en ausencia de un gestor de contraseñas.

Los investigadores confirmaron las propias conclusiones de los fabricantes y destacaron que los gestores de contraseñas se usan por dos motivos. Uno, que los usuarios quieren tratar de controlar el gran número de credenciales de acceso para mejorar la seguridad. Y dos, que los usuarios querían aplicaciones no controladas por Google por la supuesta amenaza a su privacidad y por la preocupación de que el cifrado utilizado por el navegador nativo de Android es inseguro.

Más información | Estudio en PDF
Vía | The H Open

La aplicación avast! Mobile Security para Android ha tenido ligeros problemas con la actualización de su base de datos y eso ha provocado algunos fallos y falsos positivos en la detección de malware en dispositivos móviles basados en la plataforma móvil de Google.

Nos lo ha confirmado uno de nuestros lectores, que se ha encontrado con varias alertas de malware en herramientas como WhatsApp, Gmail o Coogle Currents.

Sin embargo, tras la actualización de la base de datos de avast! todas esas alertas desaparecen, con lo que el problema queda solucionado.

En los foros de soporte de avast! se ha confirmado que la base de datos no era correcta y que eso ha provocado los falsos positivos. Sin embargo el lanzamiento de una nueva base de datos con definiciones de virus ya ha solucionado el problema.

(Gracias, Rafa Poza)

Vía | Rafa Poza
En Google Play | avast! Mobile Security