Las extensiones de Android y Chrome de Google son un lugar muy triste. Este es el por qué

Las extensiones de Android y Chrome de Google son un lugar muy triste.  Este es el por qué

Ilustración fotográfica de Miguel Candela/SOPA Images/LightRocket vía Getty Images

No es de extrañar que Google tenga problemas para mantenerse al día con la vigilancia de su tienda de aplicaciones. Desde el lunes, los investigadores han informado que cientos de aplicaciones de Android y extensiones de Chrome con millones de instalaciones desde los mercados oficiales de la compañía han incluido funciones para husmear en los archivos de los usuarios, manipular el contenido de los portapapeles e inyectar código deliberadamente desconocido en las páginas web.

Google eliminó muchas, pero no todas, las entradas maliciosas, dijeron los investigadores, pero solo después de que se informaron y, para entonces, estaban en millones de dispositivos, y posiblemente en cientos de millones. Los investigadores no están contentos.

un lugar muy triste

“No soy un fanático del enfoque de Google”, escribió en un correo electrónico el desarrollador e investigador de extensiones Wladimir Palant. En los días previos a Chrome, cuando Firefox tenía una parte más grande de la cuota de navegador, personas reales revisaban las extensiones antes de ponerlas a disposición en el mercado de Mozilla. Google adoptó un enfoque diferente mediante el uso de un proceso de revisión automatizado, que Firefox luego copió.

“Como a las revisiones automáticas a menudo les faltan extensiones maliciosas y Google reacciona muy lentamente a los informes (de hecho, rara vez reaccionan), esto deja a los usuarios en un lugar muy triste”, dijo Palant.

Los investigadores y los defensores de la seguridad han dirigido durante mucho tiempo las mismas críticas al proceso de Google para revisar las aplicaciones de Android antes de ponerlas a disposición en su mercado Play. La semana pasada proporciona una razón clara para el descontento.

El lunes, la empresa de seguridad Dr.Web reportado encontrar 101 aplicaciones con un informe de 421 millones de descargas de Play que contenían código que permitía una gran cantidad de actividades de software espía, que incluyen:

  • Obtener una lista de archivos en directorios especificados
  • Verificación de la presencia de archivos o directorios específicos en el dispositivo
  • Envío de un archivo desde el dispositivo al desarrollador
  • Copiar o sustituir el contenido de portapapeles.

El investigador de ESET, Lukas Stefanko, analizó las aplicaciones reportadas por Dr.Web y confirmó los hallazgos. En un correo electrónico, dijo que para que la indagación de archivos funcione, los usuarios primero tendrían que aprobar un permiso conocido como READ_EXTERNAL_STORAGE, que, como su nombre lo indica, permite que las aplicaciones lean archivos almacenados en un dispositivo. Si bien ese es uno de los permisos más confidenciales que un usuario puede otorgar, se requiere para realizar muchos de los supuestos propósitos de las aplicaciones, como la edición de fotos, la administración de descargas y el trabajo con multimedia, aplicaciones de navegador o la cámara.

Dr.Web dijo que las funciones de software espía fueron proporcionadas por un kit de desarrollo de software (SDK) que se usó para crear cada aplicación. Los SDK ayudan a agilizar el proceso de desarrollo al automatizar ciertos tipos de tareas que se realizan comúnmente. Dr.Web identificó el SDK que permite la indagación como SpinOK. Los intentos de contactar al desarrollador de SpinOK para obtener comentarios no tuvieron éxito.

El viernes, la empresa de seguridad CloudSEK amplió la lista de aplicaciones que utilizan SpinOK a 193 y dijo que, de ellas, 43 seguían disponibles en Play. En un correo electrónico, un investigador de CloudSEK escribió:

El software espía Android.Spy.SpinOk es una amenaza muy preocupante para los dispositivos Android, ya que posee la capacidad de recopilar archivos de dispositivos infectados y transferirlos a atacantes malintencionados. Esta recopilación de archivos no autorizada pone en riesgo de exposición o mal uso la información confidencial y personal. Además, la capacidad del software espía para manipular el contenido del portapapeles agrava aún más la amenaza, lo que podría permitir a los atacantes acceder a datos confidenciales como contraseñas, números de tarjetas de crédito u otra información confidencial. Las implicaciones de tales acciones pueden ser graves, lo que lleva al robo de identidad, fraude financiero y varias violaciones de la privacidad.

La semana no fue mejor para los usuarios de Chrome que obtienen extensiones de Chrome Web Store de Google. El miércoles, Palant reportado 18 extensiones que contenían código ofuscado deliberadamente que llegaba a un servidor ubicado en serasearchtop[.]com. Una vez allí, las extensiones inyectaban JavaScript misterioso en cada página web que visitaba un usuario. En total, las 18 extensiones tuvieron unas 55 millones de descargas.

El viernes, la empresa de seguridad Avast confirmado Los hallazgos de Palant e identificaron 32 extensiones con 75 millones de descargas reportadas, aunque Avast dijo que los recuentos de descargas pueden haber sido inflados artificialmente.

No se sabe con precisión qué hizo el JavaScript inyectado porque Palant o Avast no pudieron ver el código. Si bien ambos sospechan que el propósito era secuestrar los resultados de búsqueda y enviar spam a los usuarios con anuncios, dicen que las extensiones fueron más allá de ser solo spyware y, en cambio, constituyeron malware.

“Ser capaz de inyectar código JavaScript arbitrario en todas y cada una de las páginas web tiene un enorme potencial de abuso”, explicó. “Redireccionar las páginas de búsqueda es solo la única forma *confirmada* en la que se ha abusado de este poder”.

Leave a Reply

Your email address will not be published. Required fields are marked *