CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/12/2013

Quins perills tenen les aplicacions per a mòbils?

Smartphones Un informe realitzat per experts en seguretat informàtica del centre tecnològic Barcelona Digital identifica els principals riscos de les app, i ressalta la necessitat d’una major consciència sobre què és el que es descarrega.

Els telèfons intel·ligents s’han convertit en una de les principals portes d’accés al món digital i gràcies a les aplicacions mòbils (app) poden usar-se un gran nombre de servicis, molts d’estos gratuïts i populars per la seua utilitat o originalitat. No obstant això, segons arreplega l’informe, els riscos de les app en l’entorn corporatiu realitzat per experts de l’àrea d’I+D+i Seguretat de Barcelona Digital, la utilització d’una aplicació en el nostre dispositiu mòbil pot constituir un element de risc capaç de comprometre la seguretat de la informació que genera i emmagatzema.

El document ha identificat els riscos i les seues causes, i mostra exemples d’algunes de les app més populars com ara Twitter, Facebook o Whatsapp, així com de la forma de previndre i mitigar-los a través d’unes senzilles recomanacions. Segons les dades, és comú que algunes app comercialitzen informació d’un usuari obtinguda de manera inadvertida a partir del dispositiu mòbil on s’ha descarregat. Esta informació té un gran valor, ja que posa de manifest hàbits, gustos i preferències que definixen el perfil social de l’usuari. Quan esta apropiació indeguda d’informació es realitza a través d’un mòbil corporatiu s’entra en l’esfera professional, i inclou contactes, missatges, correus electrònics, relacions professionals, projectes, pensaments, etc. que poden comprometre la competitivitat de l’empresa propietària del dispositiu.

Entre els riscos associats a la descàrrega i l'ús d’aplicacions en dispositius mòbils corporatius, s’han identificat l’apropiació indeguda de la informació, l’abús o "segrest" del dispositiu i l’incompliment legal i normatiu. Únicament el 61% de les 150 app més descarregades tenen una política de privacitat clara on s’específica per a què i en quines condicions serà utilitzada la nostra informació. A més, les app que tenen una política de privacitat establida i presenten habitualment contractes de llicència molt extensos que rarament es lligen en la seua totalitat però que generalment s’accepten. Estos contractes estan normalment redactats per a definir un entorn d’actuació que beneficia clarament els objectius i les finalitats de qui explota l’app, en detriment dels drets de privacitat de l’usuari. L’usuari de les app normalment té una falsa sensació de protecció davant de temes de seguretat i privacitat, i pensa sovint que estes condicions d’ús seguixen els principis i recomanacions de la legislació vigent i aplicable en estes qüestions. No obstant això, a l’empara d’una legislació diferent, concretament la Patriot Act en els Estats Units, i unes condicions d’ús acceptades explícitament per l’usuari, es podria permetre als propietaris de les app emmagatzemar una gran quantitat d’informació sobre cada un de nosaltres.

Un altre risc és l’abús del dispositiu sense que l’usuari siga conscient d’això, com per exemple en cas d’espionatge o de segrest del terminal: algunes app poden ser creades amb motivacions fraudulentes, i atacar directament el nostre terminal per a apoderar-se'n. Una vegada que està sota el control de l’atacant, el dispositiu pot veure’s involucrat sense el coneixement de l’usuari en activitats delictives, com el robatori d’informació o atac a altres sistemes informàtics.

Com a exemples d’algunes preocupacions vinculades a les app més populars, l’informe assenyala l’accés a tota la llista de contactes, que es copia en un servidor extern (en el cas de Whatsapp); que tots els continguts pujats a la xarxa social Facebook es convertixen de forma automàtica en propietat del prestador de servici, o que l’intercanvi de missatges breus amb acurtadors d’url a través de Twitter fa que no tinguem referència semàntica del web on ens dirigim quan polsem en un enllaç d’este tipus.

Recomanacions

Encara que molts usuaris ja són conscients de les amenaces de seguretat a causa de l’ús de les app, és necessària una major conscienciació sobre els riscos derivats de la descàrrega d’aplicacions en dispositius mòbils corporatius. Entre la desena de recomanacions proporcionades pels experts en seguretat informàtica de Barcelona Digital que han realitzat l’informe, destaquen:

  1. Seguir les regles de seguretat establides pels responsables de Tecnologies de la Informació de l’empresa, quant a normes de seguretat en l’ús del dispositiu mòbil corporatiu, o bé buscar l’assessorament especialitzat d’un expert.
  2. Usar sempre la botiga d’aplicacions oficial del dispositiu.
  3. Revisar quins permisos sol·liciten les app quan s'instal·len i que estos siguen apropiats per a la funció que exercirà.
  4. Configurar els nivells de privacitat que l’aplicació permet.
  5. Revisar la configuració de geolocalització, i verificar si és necessari o no que estiga sempre activada.
  6. En aplicacions de xarxes socials, no obrir enllaços que provinguen d’usuaris desconeguts, especialment quan estos van en forma d’enllaços curts.
  7. No compartir contrasenyes ni informació sensible a través d’app.
  8. Mantindre actualitzat el sistema operatiu.
  9. Mantindre's informat de les últimes amenaces que hi ha.

  10. Tindre en compte que el que es compartix per una xarxa social queda permanentment compartit.

CIO (17/12/2013)

Més informació

Font: CCN-CERT

CSIRT-CV