El riesgo de los ads en Android

En la mayoría de los casos, las aplicaciones sin costo que descargas de la Tienda Apple no son tan gratuitas como dicen ser. Los desarrolladores no sólo generan apps por

En la mayoría de los casos, las aplicaciones sin costo que descargas de la Tienda Apple no son tan gratuitas como dicen ser. Los desarrolladores no sólo generan apps por filantropía. Como todo servicio online que no pide un pago, su beneficio económico descansa sobre la publicidad de compra de apps que ofrecen.

adware_title

Durante el proceso de desarrollo, se suele elegir una librería de anuncios de una compañía e incluirla en la app. Una vez que esta aplicación está en la tienda de Google Play y los usuarios comienzan a descargarla, esa empresa se hace responsable por la publicidad y por los salarios de los desarrolladores de la aplicación.

Ni el desarrollador ni el usuario ejercen control sobre la red publicitaria: la información recogida, los anuncios mostrados o la interacción con el equipo. Algunas de estas plataformas son responsables, pero otras son engañosas.

De hecho, existe una librería muy utilizada en Android (cuyas funcionalidades violan la privacidad del usuario y contienen gran cantidad de vulnerabilidades) que ha registrado más de 200 millones de descargas en aplicaciones de Google Play. Su comportamiento es tan irresponsable que ha captado la atención de los investigadores de la institución FireEye, la cual realizó un análisis de esta red publicitaria a la cual llamaremos “Vulna”, mezcla de sus dos características principales: vulnerable y agresiva.

Vulna tiene la capacidad de recopilar información confidencial como el contenido de mensajes de texto, el historial de llamadas, la lista de contactos, etc. Además, sus anuncios también pueden ejecutar códigos de descarga en los dispositivos donde se ha instalado la app.

Lo que es peor, la lista de vulnerabilidades que afecta a este servicio publicitario permite a los hackers explotar dichos bugs; utilizando la red de anuncios para atacar al usuario. En otras palabras (y por este motivo FireEye no ha querido hacer público el nombre de la red) millones de dispositivos a los que Vulna está enviando publicidad pueden ser posibles víctimas de cibercriminales.

Sabiendo que la mayoría de las vulnerabilidades están relacionadas con la falta de cifrado de los datos transferidos entre los servidores de Vulna y los dispositivos;  un atacante podría robar los códigos de verificación a través de un mensaje de texto; visualizar las fotos y archivos almacenados; instalar aplicaciones o iconos maliciosos en la pantalla de inicio; eliminar archivos y datos; hacer llamadas telefónicas; usar la cámara de fotos sin que te percates de ellos o hacerse pasar por el dueño del smartphone con peligrosas consecuencias. Pero ¡esto no todo! También podrían espiar a través de las redes WiFi, instalar un malware de botnet o hackear los servidores de Vulna, pudiendo redirigir el tráfico de la red a cualquier página controlada por el hacker (como sucedió en el reciente ataque contra Twitter y el periódico New York Times).

Es una lástima que los usuarios no pueden saber si tienen instalada una app afiliada al servicio de Vulna por la forma en que se reciben los comandos HTTP desde el servidor, ya que el código está cerrado y solo sus creadores pueden examinarlo.

Lo positivo de esto es que esta semana, FireEye ha anunciado que tanto Google como la compañía responsable han hecho numerosos cambios para mejorar el servicio y ser menos vulnerables, eliminando aplicaciones abusivas y actualizando una versión de Vulna menos invasiva (o, directamente, han eliminado esta red).

No obstante, muchos usuarios de Android no instalan las actualizaciones de las apps y, por este motivo, permanecen vulnerables a esta amenaza. De hecho, FireEye estima que 166 millones de descargas todavía contienen la versión “mala” de Vulna.

Por eso nosotros siempre recomendamos descargar constantes actualizaciones. También, debemos estar atentos al adware. Si bien las apps pagas pueden parecer una pérdida de dinero cuando existen aplicaciones gratuitas, nada es gratis en esta vida. La mayoría de las app gratuitas obtienen sus ingresos económicos a través de servicios publicitarios como Vulna y es prácticamente imposible saber exactamente quién y cómo se mantienen estas redes.

Imagínate lo siguiente: un cibercriminal hackea los servidores DNS de Vulna para redirigir todos los clics a una página donde se esconde un troyano bancario. Así, las cuentas bancarias de millones de usuarios se ponen en peligro. Los costos, tanto de tiempo como de dinero, superarían el precio de haber utilizado una app paga. Por supuesto, no todos nos podemos permitir comprar estas aplicaciones. Pero, al menos, después de leer este artículo, espero que la próxima vez que descarguen una app lean los permisos que conceden a su intimidad.

 

Consejos