Feb 25 2013

Navegación segura desde Android en redes Wi-Fi públicas

Gabolonte Blasfemus

Un túnel VPNSiempre tuve en Geekotic una gran asignatura pendiente con respecto a Android, que algunos lectores me habían solicitado, y esta era ni más ni menos que cómo conectar Android mediante un túnel para saltar la inseguridad implícita que se sufre al estar conectado a través de una red inalámbrica pública como puede ser en un café, hotel o aeropuerto, algo que ya habíamos visto como hacer pero en una PC con Windows. Me resistía a hacerlo porque realmente no existe una respuesta universal y fácil de implementar, sino demasiadas opciones y todas con sus contras y limitaciones. Hoy existen algunas más, y pretendo listarlas a todas para que cada uno decida cuál se le ajusta mejor. Pero antes que nada…

¿Es necesario realmente preocuparse por esto? ¿Que acaso no van todas las conexiones en Android por SSL?

Contestando a la primer pregunta, la respuesta debería ser sí, pero depende del nivel de paranoia/preocupación de cada uno. Sobre la segunda, supuestamente todo va por SSL… hasta que se descubre que no. Además existen los problemas de las autoridades certificantes (CA) comprometidas, algo que no es muy fácil de arreglar en Android. Después, por supuesto, tenemos los protocolos de siempre inherentemente inseguros, como por ejemplo navegar un sitio web donde almacenemos información personal y todo vaya por HTTP, o chequear correo de un servidor por POP3. Todo esto nos lleva a que es verdaderamente necesario preocuparse y tomar precauciones, aunque nos moleste tener que hacer varios pasos extra cada vez que nos conectamos a un hotspot. A continuación voy a detallar las mejores opciones disponibles para establecer una conexión tipo túnel desde un dispositivo Android.

Continue reading


Abr 11 2012

Sin permisos aún es posible robar información sensible de un teléfono Android

Gabolonte Blasfemus

imageLo demostró Paul Brodeur  del Leviathan Security Group, quien, a raíz de todas las noticias del último año sobre aplicaciones que son capaces de obtener información personal supuestamente protegida de dispositivos iOS y Android se hizo una simple pregunta: ¿A cuánto puede acceder una aplicación en Android sin ningún permiso otorgado? La respuesta da miedo:

En primer lugar puede acceder en modo de solo lectura a todos los archivos que no estén ocultos de la tarjeta SD, lugar donde por defecto se guardan todas las fotos que sacamos, lo videos que filmamos, y cientos de aplicaciones depositan archivos con información sensible. Aparentemente, esta característica es conocida y advertida debidamente en la documentación para desarrolladores de Android; aún así son legión las aplicaciones que utilizan la SDCARD para guardar sus archivos de configuración y trabajo. Un caso crítico es el que el mismo Paul detalla con OpenVPN, en cuya versión para Android los certificados de conexión son almacenados por defecto en esta misma locación.

Continue reading


Mar 9 2012

Controla los permisos de tus aplicaciones Android con Permission Explorer

Gabolonte Blasfemus

Si hay un tema de preocupación recurrente en el mundo tecnológico lo es la privacidad de nuestros datos en los smartphones. A pesar de que existen mecanismos de seguridad emplazados para hacer más segura la experiencia de volcar toda nuestra vida en nuestro teléfono móvil, la realidad muestra que el usuario promedio no vigila activamente qué permisos le concede a cada aplicación que instala. También suceden descuidos que permiten acceder a información personal valiosa, como por ejemplo las fotos tomadas desde el terminal. Por todo esto es que nunca está de más, hoy más que nunca, controlar periódicamente los permisos de las aplicaciones que instalamos, su confiabilidad, y sopesar si realmente la necesitamos en nuestro teléfono.

En el caso de Android existe ya una interesante cantidad de aplicaciones que se encargan de revisar los permisos solicitados por todas las demás que hayamos instalado, pero generalmente adolecen de diversos problemas como ser de pago, demorar mucho en escanear el sistema, o lo más paradójico, ser ellas mismas las que solicitan, sospechosamente, demasiados permisos.

Es por eso que Permission Explorer de Criniti Carlo es una opción para recomendar, ya que además de analizar en segundos cientos de aplicaciones instaladas permite detallar los permisos otorgados a cada una, ordenando los resultados por categorías de permisos que hacen mucho más fácil la revisión para, por ejemplo, ver qué aplicaciones en nuestro teléfono se meten con nuestros mensajes de texto.

20120309_202222

También podemos ver todas nuestras aplicaciones listadas cantidad de permisos, para detectar a aquellas que piden demasiado.

20120309_203321

También, si queremos un detallado de cada permiso por separado, podremos visualizarlo en la última solapa, donde podemos averiguar muy fácil cuales son aquellos más populares:

20120309_202305

¿Y lo mejor? Permission Explorer es totalmente gratuito, no muestra publicidad, y no utiliza ni un solo permiso especial para cumplir su función. Podemos descargarlo ya mismo desde el Android Market (ahora rebautizado Google Play) y comenzar a vigilar más de cerca qué pasa en nuestro androide.


Mar 10 2011

Qué hacer con la seguridad de Android

Gabolonte Blasfemus

Owneame el droide

image¿Qué mes polémico para Android, no? No es que antes no se supiera de la existencia de malware capaz de infectar un androide, pero 50 aplicaciones infectadas disponibles para instalar desde el mismo Android Market que tomaban el control de tu teléfono es algo que no se puede pasar por alto, tanto que Google se vio obligada a tomar medidas drásticas que fueron más allá de bloquear a estas aplicaciones y las cuentas a las que pertenecían, sino también a borrarlas remotamente en todas las terminales donde se instalaron, así como también instalar un parche de seguridad que busca y elimina el malware que estas aplicaciones maliciosas hayan metido en el sistema por su propia cuenta; y todo automáticamente y sin intervención del usuario. Justo ahora que la NASA quiere hacer satélites usando smartphones.

Pero lo que este mediano escándalo también produjo fue principalmente toda una serie de argumentos, polarizados por supuesto de acuerdo a su fuente. Los sitios pro-Apple automáticamente tuvieron el regalo perfecto para, a costa de hacer leña del árbol caído, defender y vender nuevamente el modelo tirano-dictatorial de aprobación de aplicaciones en la Steve Apple Store bajo la falacia argumentativa de la falsa dicotomía. Traer agua para su molino es que le dicen, una frase con la que parece que están familiarizados muchos blogstars que viven en contante miedo de que se lo hagan mientras al mismo tiempo ellos se lo pasan haciéndolo a los demás.

Y mientras muchos están reclamando por más control y seguridad en el Android Market casi con la misma insistencia que se le pidió a USA que de vuelta medio oriente cuanto le tumbaron las gemelas, hasta una compañía de antivirus de la talla de Kaspersky salió a criticar la forma en la que Google se encargó de manejar el asunto, y no por acusarla de haber hecho poco, sino por afirmar que la forma de remover las aplicaciones maliciosas e instalar la herramienta de seguridad sin consultar ni notificar al usuario es un comportamiento idéntico al del malware. Y es entendible que digan esto los muchachos de Kaspersky, no quieren competencia. Todo antivirus encierra comportamientos digno del más dañino de los virus en pos de intentar frenar y ganarles a estos, y es evidente que acá lo que molesta es el precedente de que Google se haya metido a resolver su problema sin pedir ayuda a los expertos en seguridad, como ellos.

imageMuchos ya están dibujando paralelismos entre lo que fue la historia de Windows en la PC y lo que ahora sucede con Android ahora, y tal vez es hora de hacer un par de reflexiones al respecto.

Android no es intrínsecamente inferior en seguridad a otras plataformas de smartphones que existentes y pasadas. De hecho, comparado con sistemas como Windows Mobile por ejemplo, posee una seguridad mejorada, ya que por cada aplicación que se quiere instalar, ya sea del Android Market o de cualquier otra fuente, siempre muestra los niveles de acceso que se solicitan, los cuales deben ser aprobados por el usuario. Esto quiere decir básicamente que por cada vez que se instaló una aplicación maliciosa en un teléfono Android existió un usuario de la generación del siguiente que aprobó los exagerados permisos solicitados sin mirarlos, bajándose ciegamente los pantalones sólo por el placer compulsivo de instalar algo gratis. La diferencia que hace a Android más peligroso en materia de seguridad con respecto a otros sistemas no es entonces su diseño, sino el hecho de que, como le pasó a Windows, es demasiado exitoso, y es obvio entonces que todos los cybercriminales van a apuntarle.

Querido Google, por favor implementa esto

imageLa única solución más o menos viable de momento para mantener mayormente segura una plataforma muy popular es el método restrictivo de Apple, el que ya parece que muchos usuarios le sugieren a Google que implemente en su Market. Pero antes de pedir enceguecidos que se le entregue el poder total al emperador Palpatine para que nos cuide de los malos malosos, deberíamos analizar muy bien lo que queremos. A mi juicio, el abordaje de Apple tiene una alta eficacia para frenar el malware, pero a un costo demasiado alto: La libertad de elegir lo que queremos hacer con nuestro equipo. Porque nosotros pagamos por el, es nuestro, ¿se acuerdan? De hecho cualquier análisis apenas por encima de la superficie concluye que la mejor seguridad obtenida gracias a las políticas del Apple Store no son el objetivo, sino más bien un agradable efecto colateral de las mismas; el verdadero objetivo es tener todo el control, decidir qué puede y qué no puede estar en los dispositivos que Apple fabricó y que sigue viendo como de su propiedad a pesar de que los vende y no los regala. Sobran los casos de injusticias para determinar que el principal objetivo de las restricciones son defender los desmedidos y posesivos intereses de una compañía y no la seguridad de los usuarios en primer lugar.

Ahora bien, ¿pero qué se puede hacer con el problema real que tiene Google en su Android Market? Sabemos de siempre que no podemos confiar la seguridad en los propios usuarios, otro argumento que justamente gana adeptos al iPhone ya que libera en teoría a su usuario de cualquier preocupación al respecto, ya que papi Steve los cuida. Tal vez es un sueño loco, pero pienso que la mejor solución sería tener lo mejor de ambos mundos en simultáneo: Un modo Google me cuida, en el cual el gigante se encargaría, en lo posible sin que le afloren los mismos abusivos intereses que a su competidor, de no aprobar ninguna aplicación que se vea potencialmente maliciosa. Google es el dios de los algoritmos, no dudo que si se pone a eso en en serio puede hacer uno que detecte con una buena taza de aciertos aplicaciones maliciosas de manera heurística y bloquearlas incluso antes de que lleguen a publicarse. El otro modo sería algo así como el modo macho o soy geek y quiero hacer lo que quiera, el cual sería bastante parecido a lo que es ahora, con el agregado de que se debería permitir el acceso root para que sea como realmente se debe; básicamente similar a lo que es hoy el GeeksPhone, un smartphone con Android que ya viene pre-rooteado y que tiene todas las facilidades para flashear con el mod que se nos plazca.

imageLas terminales vendrían de fábrica por defecto en el primer modo restrictivo, presumiendo acertadamente que en la mayoría de los casos acabarían en las manos de usuarios que quieren simplemente usarlo sin preocuparse de ningún detalle técnico. El cambio al otro modo se realizaría ingresando en un apartado específico de la configuración del sistema, no sin antes hacerle aprobar el mismo al usuario escribiendo en un campo de texto algo como “entendí todo y me hago responsable si meto la pata”, aunque este modo no debería invalidar de ninguna forma la garantía del equipo, al menos en lo que a hardware se refiere. Este segundo modo debería estar disponible en toda terminal, y Google debería asegurarse de que ningún Motorola fabricante caprichoso la quite o anule para ahorrarse obligaciones de soporte o por pura guachada.

Así Android podría tener contentos a dos tipos de usuarios importantísimos para el éxito de cualquier plataforma: Los que son importantes por su cantidad, y los que lo son por su poder de evangelización y desarrollo de aplicaciones.

¿Qué ideas propondrían ustedes?


Ago 16 2010

Dudas Existenciales (73)

Gabolonte Blasfemus

La baja actividad en este weblog de pacotilla delata, además de que a lo mejor me estoy rascando mucho, otra realidad de mi temporada sabática en la bobósfera (término que por cierto ya se quedó anticuado, ahora debería ser algo como socialmierdósfera o similar): Ni me acuerdo a veces de que existía algo que se llamaban feeds. Pero cuando a veces le regalo mi valioso tiempo (ok…) a la lectura de un buen artículo, me encuentro a veces con perlas muy interesantes, como la reseña de dos interesantes charlas de seguridad dadas en la última Black Hat realizada por su majestad el Maligno. Mientras que de una de ellas, la nueva vulnerabilidad que afecta a WPA2 (hasta el momento el protocolo más seguro para conectarse por Wi-Fi) se explayó oportunamente Alejandro de SpamLoco, a mí me llamó poderosamente la atención la otra que, en honor a la verdad, aunque utiliza dos conceptos que ya son conocidos desde hace un buen tiempo no deja de preocupar un poquito.

Para exponerlo en semi-nardo-geek-criollo, nuestro muchacho, un tal Samy Kamkar, en primer lugar logra, mediante un ataque XSS que afecta a los routers inalámbricos del gigante estadounidense Verizon, obtener la MAC address de la interfaz inalámbrica de dichos equipos sólo con conseguir que la víctima detrás de uno de estos acceda a un sitio que dispare la vulnerabilidad, siendo el único requisito necesario que lo haga desde un navegador que haya sido previamente autenticado con la interfaz web de administración de su router. Mediante la misma vulnerabilidad también se envía este dato al atacante, para luego pasar a la fase 2.

La segunda parte es, al menos para mí, una que me resulta preocupante por ser algo que casi todos conocemos y pocos pensamos que se podría usar de esta forma, aunque sí nos sospechábamos que algún día se nos volvería en contra. Se trata ni más ni menos que de la infame base de datos mundial que Google mantiene donde asocia con una coordenada geográfica toda red Wi-Fi que hayan detectado en sus innumerables incursiones para mapear al mundo. En su charla sugestivamente intitulada How I met your girlfriend nuestro amigo Samy explica como descubrió, examinando de qué manera funciona el protocolo de geolocalización que utiliza Firefox y otros navegadores, como cuando Google Maps intenta establecer nuestra ubicación uno de los parámetros que utiliza para conseguirlo es fijarse en la red inalámbrica a la que estamos conectados (si este fuese el caso) y consultar su localización en su inmensa base. El parámetro que identifica a cada red no es desde ya su nombre, sino sería un verdadero despropósito con tantas llamadas linksys, netgear y similares, sino que como ya bien lo saben o se lo imaginan a estas alturas se trata del dato que fue extraído en el paso anterior: La MAC Address, la dirección física del adaptador inalámbrico del router, la cual como con toda interfaz de red es un valor único e irrepetible de fábrica. De esta forma el ataque completo consigue ubicar geográficamente a la víctima con una asombrosa y atemorizante precisión, y sin necesitar de un GPS o la red de telefonía celular.

En su sitio de muestra del xploit Samy nos muestra como con tan sólo ingresar la MAC de cualquier red Wi-Fi obtenemos enseguida no sólo unas coordenadas, la cual muy amablemente nos exhibe en Google Maps, sino datos más directos, como País, Ciudad, Calle y hasta la Altura, generalmente con un rango de error de una cuadra. Uno a veces no suele preocuparse por estas cosas porque cree que sólo ocurren en países del primer mundo donde ya a estas alturas cada ciudadano cuente sin saberlo con una sonda anal de rastreo, pero fue grande mi sorpresa al verificar que Google sabe donde vive mi Wi-Fi.

Lo más peligroso de toda esta cuestión radica en que, mientras la mayoría de los routers permiten desde su configuración cambiar la dirección física del adaptador WAN, o sea el que se conecta a Internet a través de, por ejemplo, el cablemódem o módem ADSL, no conozco ninguno que permita hacerlo con la del adaptador WLAN. La única vía posible de evitar quedar escrachados en este caso radicará en poder utilizar un router movido por Linux, desde cuya línea de comandos se puede realizar este cambio con relativa facilidad.

¿Creen que pueden estar a salvo de las implicancias de que Google sepa donde vive nuestro router tan sólo porque no es uno de Verizon? Puede que lo quieran pensar otra vez, todos los días surgen nuevas formas de extraer mediante el navegador información del equipo en el que este corre…