A pesar de los esfuerzos de Google, Android sigue teniendo graves problemas de seguridad. Y no siempre tienen que ver con la aparición aleatoria de aplicaciones zombis para lanzar ataques DDoS, sino con aparente facilidad con la que algunos desarrolladores han podido esconder malware durante años. El último ejemplo lo desvela Buzzfeed News, que en colaboración con la firma de análisis Kochava ha descubierto que varias aplicaciones con millones de descargas han estado estafando a anunciantes de forma continuada.
Las aplicaciones en cuestión son obra del estudio chino Cheetah Mobile, acusado anteriormente de prácticas fraudulentas, y Kika Tech, también china pero con oficinas centrales en Silicon Valley. De acuerdo con los hallazgos de Kochava, dichas aplicaciones ejecutan las técnicas conocidas como click flooding y click injection para sustituir códigos de referidos, reclamando como propios ingresos publicitarios potencialmente valorados en millones de dólares.
El mecanismo detrás del fraude es relativamente sencillo. Estas aplicaciones solicitan una cantidad excesiva de permisos, como por ejemplo para leer el texto introducido en un teclado y monitorizar las aplicaciones descargadas. Esto es así para controlar qué aplicaciones son instaladas, puesto que algunas compañías de publicidad y desarrolladores pagan una comisión a terceras partes (sitios webs u otras aplicaciones, por ejemplo) a través de las cuales se descarga una aplicación. Esta comisión puede ir de 50 céntimos a 3 dólares.
Las aplicaciones de Cheetah y Kika monitorizan el proceso de descubrimiento e instalación de dichas apps para sustituir el código utilizado para identificar al socio que debería llevarse la comisión por publicidad y embolsárselo en su lugar.
La escala de la estafa es desconocida. Ambas empresas afirman tener un total combinado de más de 700 millones de usuarios activos y durante el último trimestre Cheetah declaró ingresos por valor de 196 millones de dólares en concepto de productos y servicios.
Clean Master, CM File Manager, CM Launcher 3D, Security Master, Battery Doctor, CM Locker, Cheetah Keyboard y Kika Keyboard son algunas de las aplicaciones señaladas por Kochava. Inicialmente Cheetah declaró que el origen de este comportamiento podría estar en el SDK utilizado por "plataformas de publicidad" ajenas a la empresa, pero lo cierto es que el SDK es propiedad de la propia Cheetah y no de terceros. Más tarde la compañía declaró que el SDK no tenía nada que ver con este comportamiento.
Buzzfeed News se puso en contacto con Google, proporcionando vídeos y capturas de código identificado como problema ‘tico por Method Media Intelligence, una empresa de marketing para desarrolladores. Según Google, la situación está siendo investigada. Sea como sea, la mayoría de las aplicaciones señaladas por los investigadores siguen estando disponibles con total normalidad en Google Play.
Las aplicaciones en cuestión son obra del estudio chino Cheetah Mobile, acusado anteriormente de prácticas fraudulentas, y Kika Tech, también china pero con oficinas centrales en Silicon Valley. De acuerdo con los hallazgos de Kochava, dichas aplicaciones ejecutan las técnicas conocidas como click flooding y click injection para sustituir códigos de referidos, reclamando como propios ingresos publicitarios potencialmente valorados en millones de dólares.
El mecanismo detrás del fraude es relativamente sencillo. Estas aplicaciones solicitan una cantidad excesiva de permisos, como por ejemplo para leer el texto introducido en un teclado y monitorizar las aplicaciones descargadas. Esto es así para controlar qué aplicaciones son instaladas, puesto que algunas compañías de publicidad y desarrolladores pagan una comisión a terceras partes (sitios webs u otras aplicaciones, por ejemplo) a través de las cuales se descarga una aplicación. Esta comisión puede ir de 50 céntimos a 3 dólares.
Las aplicaciones de Cheetah y Kika monitorizan el proceso de descubrimiento e instalación de dichas apps para sustituir el código utilizado para identificar al socio que debería llevarse la comisión por publicidad y embolsárselo en su lugar.
La escala de la estafa es desconocida. Ambas empresas afirman tener un total combinado de más de 700 millones de usuarios activos y durante el último trimestre Cheetah declaró ingresos por valor de 196 millones de dólares en concepto de productos y servicios.
Clean Master, CM File Manager, CM Launcher 3D, Security Master, Battery Doctor, CM Locker, Cheetah Keyboard y Kika Keyboard son algunas de las aplicaciones señaladas por Kochava. Inicialmente Cheetah declaró que el origen de este comportamiento podría estar en el SDK utilizado por "plataformas de publicidad" ajenas a la empresa, pero lo cierto es que el SDK es propiedad de la propia Cheetah y no de terceros. Más tarde la compañía declaró que el SDK no tenía nada que ver con este comportamiento.
Buzzfeed News se puso en contacto con Google, proporcionando vídeos y capturas de código identificado como problema ‘tico por Method Media Intelligence, una empresa de marketing para desarrolladores. Según Google, la situación está siendo investigada. Sea como sea, la mayoría de las aplicaciones señaladas por los investigadores siguen estando disponibles con total normalidad en Google Play.
Google no hace lo mismo no...
Disfruten los permisos dados.
Es como si un tio llama a mi puerta y me pregunta si le dejo las llaves de casa, del coche, la cartera con la tarjeta de credito y si le doy el pin de paso.
Si yo le digo que si y se lo doy, entonces, no deberia quejarme si me destroza la casa, me empotra el coche y me vacia la cuenta del banco no?.
Aunque tambien podria echarle la culpa al banco, a la empresa fabricante del coche y al constructor de mi casa y decir que tendrian que implementar mayor seguridad a prueba de tontos como yo... en fin.
Para algo existen las llaves y los permisos, pero solo funcionan si no se las das a todo el mundo que te las pida ;).
Mi política: si la aplicación funciona bien, nunca la actualices.
Edito:
¿Que qué culpa tiene Google, en serio?
Igual es que es insignia y maestra en el tema, aparte es que creía que la PlayStore (eso por lo que es capaz de pelearse con la CEE y los fabricantes para mantenerla como tienda e instalador de aplicaciones en exclusiva) y todo lo que hay en ella pasa por su "filtro".
Quien controla la tienda aplicaciones tiene la responsabilidad de verificar cada una de las apps que están allí alojadas y por lo tanto Google si que tiene responsabilidad por tener controles de seguridad tan pobres, eso sin tener en cuenta que también es responsable de la sustanciosa cantidad de puertas traseras en cada versión de su sistema operativo y no hacer nada efectivo para mitigar la fragmentación de su ecosistema.
¿Fake News?
¿O algo esperado teniendo en cuenta la pasividad del gobierno Chino para castigar las travesuras de sus conciudadanos?
No se pierdan nuestra apasionante conclusión!