Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/08/2011
Una fallada de seguretat en Android facilita el robatori de dades bancàries de l'usuari
¿Fins a quin punt és segur introduir dades bancàries des d'Android? Un recent estudi ha descobert que un fallada en el disseny del sistema operatiu de Google per a dispositius mòbils podria ser utilitzat per estafadors per a robar aquest tipus de dades dels usuaris.
Segons hem conegut a través de CNET, un grup d'investigadors ha advertit dels riscos de patir pesca utilitzant terminals amb Android. L'informe assenyala que els desenvolupadors poden crear aplicacions en aparença inofensives, però que poden mostrar un fals accés al nostre compte bancari quan pretenguem accedir a ella des del dispositiu mòbil.
Des de la firma Trustwave es va explicar com els desenvolupadors poden crear aplicacions que llancen aquestes pantalles falses. Encara que les aplicacions que funcionen en segon pla envien missatges de notificació mitjançant la barra superior, també és possible que aquestes passen a estar en primer pla. Açò resulta útil, per exemple, per a enviar una imatge del nostre terminal a xarxes socials, però també permet que una aplicació maliciosa reemplace la ferramenta que ofereix el nostre banc per a fer transaccions des del mòbil o per a accedir al nostre compte.
Els investigadors van demostrar la seua teoria amb una presentació. En aquesta s'aparençava instal·lar un producte totalemente legítim, però la funció del qual era mostrar les pantalles d'accés a comptes com Gmail o Facebook. La pantalla falsa es mostrava davant de l'usuari sense que aquest tinguera temps per adonar-se del canvi en compte de la pantalla legítima. Així mateix, també es permetria modificar les accions del botó de retrocés de manera que l'usuari no puga eixir de l'aplicació maliciosa o detectar el que realment està succeint en el seu mòbil.
Així mateix, la fallada en el disseny permet que s'òbriguen múltiples i molestos emergents amb publicitats programades per a aparéixer, per exemple, en iniciar-se determinades aplicacions. Google ja coneix la fallada i intenta buscar una solució que repare aquest problema en el disseny. Igualment, s'ha compromés a eliminar de l'Android Market tota aplicació amb aquestes característiques. Això sí, només podrà fer-la sempre que es reben reports d'usuaris afectats.
Així, doncs, una nova prova de com l'augment en la popularitat de la plataforma de Google està convertint-la en un dels objectius de desenvolupadors d'aplicacions malicioses. A aquest perill potencial de pesca hem d'unir els coneguts virus i troians que ja circulen per a Android i que comprometen la informació personal de l'usuari. D'aquesta manera, continuem recomanant les màximes precaucions a l'hora d'instal·lar aplicacions i introduir dades personals i bancàries des del nostre terminal mòbil.