Android se está convirtiendo en un sistema operativo cada vez menos seguro, según Nokia

En nuestro sitio, a menudo planteamos problemas de seguridad, vulnerabilidad y actualizaciones de Android. Este es un tema muy importante, incluso si la mayoría de nuestros lectores nunca se han encontrado con problemas de seguridad. Con el tiempo, hablaremos más y más sobre esto, y hay ciertas razones para esto, que Nokia describió con suficiente detalle.

Android se está convirtiendo en un sistema operativo cada vez menos seguro, según Nokia. Una fotografía.

Nokia publicó recientemente los resultados de su investigación de seguridad para la segunda mitad de 2016. La compañía construyó su estudio basado en datos de más de 100 millones de dispositivos. Resultó que la tasa general de infección aumentó en un 400 por ciento y la mayoría de los casos de “infección” ocurren en dispositivos con Android.

Todo es más que natural. Android es el sistema operativo móvil más popular. Además, cada vez usamos más los dispositivos móviles, abandonando poco a poco los ordenadores. Como resultado, en la segunda mitad de 2016, el 81 por ciento de las infecciones de malware ocurrieron en el sistema operativo Android. Para obtener estos datos, Nokia analizó el tráfico móvil. El 15 por ciento de las infecciones ocurrieron en el sistema operativo Windows y usuarios de PC con módems USB.

A pesar de los esfuerzos de Google y otras empresas, el riesgo de infección va en aumento. Aquí hay algunos datos reveladores del informe de Nokia:

  • La tasa mensual general de infección de teléfonos inteligentes en la segunda mitad de 2016 fue del 0,9 por ciento. Esto es un 83 por ciento más que en la primera mitad de 2016.
  • Las tasas de infección celular aumentaron constantemente a lo largo de 2016, alcanzando un nuevo máximo en octubre de 1,35 por ciento.
  • Android sigue siendo la principal víctima del malware, pero iOS también se ha convertido en víctima del spyware. En septiembre y octubre, el Internet de las Cosas fue víctima de ataques DDoS. El tema de la seguridad en esta categoría de productos cobra importancia.
  • Hay alrededor de 12 millones de muestras de malware en la base de datos de Nokia Threat Intelligence. En 2016, el número aumentó en un 95 por ciento en comparación con el año pasado.
  • Android.Adware.PornClk.AT es el malware más popular. Representa el 41,65 por ciento de las infecciones.

Noticias, artículos y anuncios de publicaciones

Libre comunicación y discusión de materiales.

Cualquier sistema operativo será aburrido si los desarrolladores no quieren divertirse un poco. Cuando aparece algo como un huevo de Pascua, familiar para nosotros de Android, se convierte en un evento que es interesante para todos. Pero es la aparición anual de huevos de Pascua lo que nos hace esperarlos, y los desarrolladores se toman su trabajo más en serio y proponen algo nuevo. En este caso, el lugar para “hacer el tonto” ya no queda y tienen que trabajar. Por lo general, un juego o una pequeña aplicación integrada aparece más cerca de la versión final. Eso es lo que sucedió esta vez también. Ahora sabemos qué tipo de huevo de Pascua habrá en Android 13.

READ
Google finalmente lanzó aplicaciones instantáneas

Si usa Telegram, sabe que no tiene que compartir su número allí. Se requiere para la autorización, pero se puede ocultar para la correspondencia. Otros usuarios pueden incluso agregarte solo por ID. Aquellos que han elegido WhatsApp para sí mismos no pueden presumir de semejante lujo. Este mensajero, a pesar de todos los intentos de actualizarse, todavía va a la zaga del mensajero de Pavel Durov en muchos aspectos. Pero parece que muchas cosas pueden cambiar ahora. No para todos ni en todas partes, pero el número de teléfono con el que inició sesión en Messenger se puede ocultar.

Muchos han escuchado algo así como la protección de Google Play o en la versión original, que es más común, Google Play Protect. Suena bonito y prometedor, pero no todo el mundo entiende lo que es. Y esto es exactamente lo que protege a nuestras aplicaciones ya nosotros mismos de las aplicaciones. Existe la opinión de que esto es solo un control de las solicitudes por parte de los censores, pero no es así. Analicemos el problema y comprendamos de qué se trata, para que no haya dudas sobre la importancia de este fenómeno y cuánto lo necesitamos cada uno de nosotros.

Estos virus enfermaban, cuando se usaba el Nokia 701 pasaba lo mismo, Symbian no tenía menos virus. Con la transición a android una vez tuve felicidad. Eso no ha sucedido con el iPad durante varios años. Mis hijos se dan un festín con frecuencia con los virus de PC. ¿Qué tipo de ataque es este? No hay gobierno para repartidores, y todo por culpa de la pasta. Compra un antivirus.

Ya 1.35 por ciento. Que terrible la vida. Y luego, esto es del campamento de los chinos. El resto con samsungs, pixeles y nexus pueden dormir tranquilos.

Google también señala que en 2016, los usuarios tenían 10 veces más probabilidades de descargar malware fuera de Google Play que en la tienda de aplicaciones de la empresa.

¿Es tan difícil dar información completa? ¿Sí, Ernesto?

¿Qué tiene que ver Google Play con esto, querido lector? No hay una palabra sobre la tienda de aplicaciones de Google en el material. El artículo no trata sobre él ni sobre el malware que contiene, con el debido respeto.

Durante mucho tiempo, Android ha tenido la reputación de ser un sistema operativo lento, inseguro y generalmente miserable para aquellos que no podían ahorrar para un iPhone. Pero, ¿es cierto ahora, y Android era realmente tan malo? En este artículo, no tocaremos la fluidez de la interfaz y las capacidades del sistema operativo, pero seguiremos la historia de quizás la parte más dolorosa de Android: el sistema de seguridad.

el comienzo del tiempo

Comprender el significado y el propósito de los mecanismos de defensa de Android es más fácil en retrospectiva. Es decir, estudiando cómo se implementó la protección (o la falta de ella) en las primeras versiones del sistema operativo y cómo y por qué cambió más tarde.

READ
Android Oreo lo rompe todo, hasta el despertador

Entonces, Android 1.0 es una plataforma lanzada en el otoño de 2008 junto con el teléfono inteligente HTC Dream (T-Mobile G1). La seguridad la proporcionan cinco subsistemas clave.

1. ALFILER pantalla de bloqueo para proteger contra el acceso físico no autorizado.

2. Cajones de arena (entorno de ejecución aislado) para aplicaciones. Cada aplicación se ejecuta en nombre de un usuario de Linux creado específicamente para ella. La aplicación tiene control total sobre sus archivos de espacio aislado ( /data/data/packagename ), pero no puede acceder a los archivos del sistema ni a los archivos de otras aplicaciones. La única forma de salir de la caja de arena es convertirse en root.

3. Cada aplicación debe especificar la lista de permisos necesarios para su funcionamiento en manifiesto. Los permisos le permiten usar ciertas API del sistema (acceso a la cámara, micrófono, red, etc.). Aunque los permisos se aplican en varios niveles, incluido el kernel de Linux, no es necesario que el usuario los solicite explícitamente; la aplicación recibe automáticamente todos los permisos enumerados en el manifiesto y el usuario puede instalar la aplicación, otorgarle todos los permisos o no instalarla.

El control de acceso basado en permisos no se aplica a las tarjetas de memoria ni a las unidades USB. Utilizan el sistema de archivos FAT, que no le permite asignar permisos de archivos. Cualquier aplicación puede leer el contenido de toda la tarjeta de memoria.

4. Las solicitudes deben estar firmadas la llave desarrollador. Durante la instalación de una nueva versión de la aplicación, el sistema verifica las firmas digitales de las versiones anterior y nueva de la aplicación y no permite la instalación si no coinciden. Este enfoque ayuda a proteger al usuario del phishing y el robo de datos, cuando un troyano se hace pasar por una aplicación legítima y, después de “actualizar”, obtiene acceso a los archivos de la aplicación original.

5. Lenguaje Java y la máquina virtual brindan protección contra muchos tipos de ataques a los que son vulnerables las aplicaciones en lenguajes inseguros como C y C++. El desbordamiento de búfer o la reutilización de la memoria liberada es básicamente imposible en Java.

Al mismo tiempo, una parte significativa del sistema operativo, incluidos los servicios del sistema, una máquina virtual, bibliotecas multimedia, un sistema de representación de gráficos, así como todos los subsistemas de red, está escrito en esos C y C ++ muy inseguros y funciona con derechos de raíz. Se podría aprovechar una vulnerabilidad en uno de estos componentes para tomar el control total del sistema operativo o realizar un ataque DoS. HTC Dream fue “hackeado” debido al hecho de que el servicio Telnet, preinstalado en el teléfono inteligente, funcionaba con derechos de root. Todo lo que tenían que hacer era encontrar una manera de ejecutarlo y luego podían conectarse al teléfono inteligente a través de la red y obtener acceso shell con derechos de superusuario.

READ
Qué características de iOS aparecieron en Android 11

Si hablamos de aplicaciones estándar, entonces, aunque no tenían derechos de root y funcionaban bajo la protección de una máquina virtual en su propia caja de arena, de una forma u otra tenían capacidades muy amplias inherentes a los sistemas operativos de escritorio. Con los derechos necesarios, una aplicación de terceros podría hacer mucho: leer SMS y listas de llamadas, leer cualquier archivo en una tarjeta de memoria, obtener una lista de aplicaciones instaladas, trabajar en segundo plano durante un tiempo ilimitado, mostrar gráficos encima de ventanas de otras aplicaciones, recibir información sobre casi todos los eventos del sistema (instalar una aplicación, encender/apagar la pantalla, hacer una llamada, conectar un cargador y mucho más).

Estrictamente hablando, todas estas API no eran vulnerabilidades en el verdadero sentido de la palabra. Por el contrario, abrieron amplias oportunidades para los programadores y, en consecuencia, para los usuarios. Pero si en 2008 estas características no crearon ningún problema en particular, ya que el mercado de teléfonos inteligentes se centró en entusiastas y hombres de negocios, unos años más tarde, cuando los teléfonos inteligentes se generalizaron entre todos los grupos de población, quedó claro que las aplicaciones deberían tener capacidades limitadas.

Autoridad

Hay dos formas de limitar los derechos de las aplicaciones y evitar que afecten el sistema y los datos del usuario:

  1. Reducir al mínimo las capacidades de todas las aplicaciones, como se hizo en J2ME.
  2. Permita que el usuario controle qué opciones están disponibles para la aplicación (ruta de iOS).

Android, a pesar de contar con un potente sistema de separación de poderes dentro del SO, no permitía ni lo uno ni lo otro. Los primeros indicios de un sistema de control de permisos granular aparecieron solo en Android 4.3, junto con la sección de configuración oculta de App Ops.

Menú de operaciones de aplicaciones ocultas en Android 4.3

Menú de operaciones de aplicaciones ocultas en Android 4.3

Con esta configuración, el usuario podría revocar cualquier permiso disponible para la aplicación de forma individual. Sin embargo, este sistema no puede llamarse conveniente y fácil de usar: la administración de permisos era demasiado granular, tenía que navegar entre docenas de permisos, cuyo significado a menudo permanecía incomprensible. Al mismo tiempo, la revocación de cualquier permiso podría (y a menudo lo hizo) provocar el bloqueo de la aplicación, ya que Android simplemente no tenía una API que permitiera al programador saber si su aplicación tiene permiso para realizar una acción en particular o no. Como resultado, el sistema App Ops ya se eliminó de Android en la versión 4.4.2, y solo en Android 6 se reemplazó por el sistema de autoridad que aún existe.

Esta vez, los ingenieros de Google adoptaron un enfoque diferente y combinaron permisos relacionados, lo que dio como resultado siete metapermisos que se pueden solicitar justo en el momento en que se ejecuta la aplicación. En el corazón del sistema había una nueva API que permitía a los programadores verificar los permisos disponibles para una aplicación y solicitarlos cuando fuera necesario.

READ
Android no tenía esperanza de éxito y otros hechos de su historia

Un efecto secundario de este enfoque fue inutilidad del nuevo sistema. El hecho es que funcionó exclusivamente para aplicaciones creadas para Android 6.0 y superior. Un desarrollador de aplicaciones podría especificar targetSdkVersion 22 (es decir, Android 5.1) en las reglas de compilación y su aplicación continuaría obteniendo todos los permisos automáticamente.

Google se vio obligado a implementar el sistema de esta manera para mantener la compatibilidad con el software anterior. El sistema realmente comenzó a operar solo dos años después, cuando Google introdujo un requisito mínimo de SDK en Google Play, es decir, simplemente prohibió la publicación de aplicaciones creadas para versiones obsoletas del sistema operativo. El problema finalmente se resolvió solo en Android 10: se hizo posible revocar los permisos del software creado para Android 5.1 y versiones anteriores.

En Android 11, el sistema de permisos se amplió y ahora le permite otorgar permiso para una operación en particular solo una vez. Una vez que la aplicación se minimiza, perderá el permiso y deberá volver a solicitarse.

Permisos únicos en Android 11

Permisos únicos en Android 11

restricciones

El sistema de gestión de permisos es solo una parte de la solución. La segunda parte son las prohibiciones sobre el uso de API peligrosas. Uno puede discutir durante mucho tiempo si vale la pena permitir que las aplicaciones de terceros obtengan los permisos de uso del IMEI del teléfono, o si debería prohibirse en absoluto. Para Google, al entrar en la era de la obsesión por la privacidad total, la respuesta era obvia.

A pesar de que la compañía impuso previamente prohibiciones sobre el uso de ciertas API (recordemos, por ejemplo, la prohibición de activar el modo de vuelo y confirmar el envío de SMS a números cortos en Android 4.2), las hostilidades activas comenzaron solo en 2017.

A partir de la versión 8, Android oculta muchos identificadores de dispositivos de las aplicaciones y otros dispositivos. ID de Android ( Settings.Secure.ANDROID_ID ): la ID única de Android ahora es diferente para cada aplicación instalada. El número de serie del dispositivo ( android.os.Build.SERIAL ) no está disponible para las aplicaciones creadas para Android XNUMX y superior. El contenido de la variable net.hostname está vacío y el cliente DHCP nunca envía un nombre de host al servidor DHCP. Algunas variables del sistema dejaron de estar disponibles, por ejemplo ro.runtime.firstboot (hora del último arranque).

A partir de Android 9, las aplicaciones ya no pueden leer el número de serie de un dispositivo sin el permiso READ_PHONE_STATE. Android 10 introdujo una restricción en el acceso a IMEI e IMSI. Leer esta información ahora requiere el permiso READ_PRIVILEGED_PHONE_STATE, que no está disponible para aplicaciones de terceros.

Obtener la dirección MAC de Bluetooth en Android 8 y superior requiere el permiso LOCAL_MAC_ADDRESS, y la dirección MAC de Wi-Fi se aleatoriza cuando se verifican las redes disponibles (para evitar el seguimiento de usuarios, como compradores en centros comerciales).

READ
Huawei prohibirá Android en sus smartphones

En Android 9, Google fue mucho más allá y prohibió el uso de la cámara, el micrófono y cualquier sensor mientras la aplicación está en segundo plano (dejando la capacidad de usar la cámara y el micrófono para “servicios visibles” – servicio en primer plano). Android 10 agregó a estas restricciones la prohibición de acceder a la ubicación en segundo plano (ahora requiere el permiso ACCESS_BACKGROUND_LOCATION) y la prohibición de leer el portapapeles en segundo plano (requiere el permiso READ_CLIPBOARD_IN_BACKGROUND).

Otra innovación importante en Android 9 es la prohibición total del uso de HTTP sin TLS (es decir, sin encriptación) para todas las aplicaciones creadas para la nueva versión de Android. Sin embargo, esta limitación se puede eludir especificando una lista de dominios permitidos en el archivo de configuración de seguridad de la red ( network_security_config.xml ).

Android 10 introdujo una prohibición de iniciar actividades (de hecho, iniciar aplicaciones) mediante aplicaciones en segundo plano. Se hacen excepciones para los servicios vinculados, como la accesibilidad y los servicios de autocompletar. Las aplicaciones que utilizan el permiso SYSTEM_ALERT_WINDOW y las aplicaciones que reciben un nombre de actividad en un PendingIntent del sistema también pueden iniciar actividades en segundo plano. Además, las aplicaciones ya no pueden ejecutar archivos binarios desde su propio directorio privado. Esto ya ha dado lugar a problemas con la popular aplicación Termux.

A partir de Android 11, las aplicaciones ya no pueden acceder directamente a la tarjeta de almacenamiento (interna o externa) mediante los permisos READ_EXTERNAL_STORAGE y WRITE_EXTERNAL_STORAGE. En su lugar, debe usar el directorio privado de la aplicación dentro de /sdcard/Android (se crea automáticamente y no requiere permisos) o un marco de acceso al almacenamiento que no permite que otras aplicaciones accedan a los datos.

Curiosamente, Google restringe las aplicaciones de terceros no solo a los medios del sistema operativo. A fines de 2018, apareció un requisito en Google Play que establece que todas las aplicaciones que usan permisos para leer SMS y registros de llamadas deben pertenecer a uno de los tipos de aplicaciones permitidas y deben someterse a una moderación previa manual. Como resultado, se eliminaron del mercado muchas herramientas útiles, cuyos autores simplemente no pudieron justificar ante Google la necesidad de usar ciertos permisos.

Continúa disponible solo para miembros

Opción 1. Únase a la comunidad Xakep.ru para leer todos los materiales en el sitio

¡La membresía en la comunidad durante el período especificado le dará acceso a TODOS los materiales de Hacker, le permitirá descargar números en PDF, desactivar la publicidad en el sitio y aumentar su descuento acumulativo personal! Más

Opción 2: Abrir un material

¿Está interesado en el artículo, pero no hay forma de convertirse en miembro del club Xakep.ru? ¡Entonces esta opción es para ti! Tenga en cuenta: este método solo es adecuado para artículos publicados hace más de dos meses.

evgeny zobnin

Editor de columnas de X-Mobile. Administrador de sistemas a tiempo parcial. Gran fanático de Linux, Plan 9, gadgets y videojuegos antiguos.

Rating
( No ratings yet )
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: