Corrent en sales fosques

Raül Arribas

Prou sensacionalisme malintencionat

Dins el periodisme de videojocs, com en totes les altres branques de la professió, és habitual trobar articles en que es tracta determinat tema de forma sensacionalista per aconseguir captar més l’atenció del lector. Avui vull parlar d’un cas concret que em vaig trobar la setmana passada i que, a més, em sembla prou paradigmàtic.

Abans de res vull comentar que els articles sensacionalistes es poden generar per dos motius: per desconeixement del tema o per mala fe. En el primer cas el periodista en qüestió pot no ser un expert en la matèria i, influenciat per altres notícies que pugui haver llegit, pot acabar fent una notícia que pivota sobre un fet irreal, donant així una imatge esbiaixada del tema que està tractant. Però el segon cas és més greu: conscient de la informació real decideix transmetre-ho de la forma en que cridarà més l’atenció del públic, sense importar la veracitat ni el rigor dels fets que descriu. No sé de quin dels dos casos es tracta el que comentaré a continuació així que prefereixo pensar que es tracta del primer, tot i que la darrera frase de l’article em fa pensar que és el del segon.

Com deia, la setmana passada en vaig trobar amb una d’aquestes notícies. A la revista online especialitzada en videojocs Joystick van publicar el següent article:

Trojan found attached to several Android games in China

Si us llegiu l’article veureu que, tot i que el què es diu és completament cert, la forma en que ho diu fa que d’entrada t’espantis si tens un telèfon intel·ligent amb Android. Resumint, sembla que hi ha virus per Android i que, sense el teu coneixement, qualsevol dia se’t pugui colar un troià al teu telèfon. I el més indignant és que un cop t’ha ficat la por al cos et dóna l’enllaç d’una empresa de seguretat que casualment disposa de software de seguretat per a dispositius Android.

[pe2-gallery class="aligncenter" ]

android_logo.gif Zoom

android_logo.gif

[/pe2-gallery]

Doncs bé, això és completament fals. I que ho remati amb aquest enllaç a una empresa de software de seguretat em dóna a pensar que a més està fet amb molta mala intenció.

Per començar, aquestes aplicacions que contenen un troià sembla ser que resideixen a repositoris paral·lels al oficial, concretament a la Xina, tot i que el lloc és indiferent. En un telèfon Android, de sèrie, només es poden instal·lar aplicacions descarregades de l’Android Market oficial de Google. Si vols instal·lar-ne d’altres fonts ho has d’habilitar expressament. Per tant, un usuari mitjà que no entén gaire de tecnologia mai activarà aquesta opció (potser no sap ni que existeix) i no podrà instal·lar-se software diferent del que oficialment Google posa a la seva disposició.

Suposem a partir d’ara que l’usuari sí ha establert aquesta opció al seu telèfon.

Les aplicacions a Android no s’executen de forma nativa al sistema operatiu si no que ho fan a una màquina virtual desenvolupada especialment per a Android anomenada Dalvik. Això aïlla el codi de les aplicacions del sistema operatiu, de forma que una aplicació només pot accedir als sistemes sobre els que la Dalvik li ha atorgat permisos. Sempre que instal·lem una aplicació al nostre telèfon mòbil Android un dels passos ineludibles és una pantalla en que se’ns informa dels permisos que aquella aplicació li està demanant a la Dalvik, i és l’usuari qui accepta o no aquells permisos. Una aplicació només accedirà a on diguin aquells permisos, no té forma d’accedir més enllà. Per tant, és l’usuari qui atorga els permisos. El desenvolupador d’una aplicació ha de declarar quins permisos necessita el seu programa a un fitxer de configuració, que és el que llegeix la Dalvik per a preguntar a l’usuari, i tot permís que no hagi declarat allà no el tindrà. Si per exemple s’oblida de demanar permís per a escriure al sistema de fitxers i després resulta que ho necessita, no ho podrà fer.

Si teniu curiositat per a conèixer la llista de permisos disponibles a Android els podeu consultar aquí (en anglès).

Posant un exemple: si us descarregueu un joc com l’Angry Birds i al anar-lo a instal·lar us demana permisos per a enviar SMS automàticament o poder fer trucades sense el vostre permís, ho acceptaríeu? Doncs així funciona. Si l’usuari accepta és responsabilitat seva, no del sistema operatiu.

[pe2-gallery class="aligncenter" ]

angrybirds_big.jpg Zoom

angrybirds_big.jpg

[/pe2-gallery]

Suposem a partir d’ara que l’usuari també ha acceptat una llista de permisos que el sentit comú dicta que no hauria d’haver acceptat.

Encara queda un altre problema per a les aplicacions malicioses. A un telèfon Android l’usuari que executa les accions no té control total sobre el sistema. L’usuari administrador, conegut com a root, no és accessible per a l’usuari humà. Això vol dir que qualsevol programa que instal·li al seu telèfon no podrà accedir a les seccions vitals del sistema operatiu. Si una aplicació demana permís per a poder accedir al sistema de fitxers i se li concedeix podrà accedir al sistema de fitxers habilitat per a aplicacions, però mai a la partició del sistema. I per tant no podrà accedir a seccions vitals del vostre dispositiu com, per exemple, obrir ports.

Un troià el que fa habitualment és obrir ports al vostre sistema operatiu de forma silenciosa per a que algú, sense el vostre coneixement, es pugui connectar al vostre dispositiu de forma remota i executar les accions que cregui convenients, com per exemple prendre control de l’aparell.No és el cas que ens ocupa ja que el troià que denuncia Joystick sembla ser que només envia informació personal a servidors remots i en cap cas accepta connexions entrants, però no seria d’estranyar que n’apareguessin altres que sí ho fessin.

Com que resulta que l’aplicació maliciosa no podrà obrir ports al vostre telèfon podeu estar tranquils. De fet hi ha formes d’aconseguir ser root al vostre Android, i ser-ho presenta una sèrie de beneficis ja que es passa a controlar de debò el terminal completament i permet fer coses que sense ser root és impossible, però per a arribar a ser root el propietari ha de disposar d’uns coneixements avançats que estan fora de l’abast de la majoria dels usuaris, ja sigui per què els tingui de la seva professió o per que hagi investigat i après durant el procés. Per tant qui arriba a ser root al seu Android sap perfectament el què està fent i, tot i així, si una aplicació vol accedir als permisos de root també ha de ser l’usuari qui ho permeti explícitament.

Seguint amb l’exemple anterior, si el joc Angry Birds us demana que vol permisos de root desconfieu-hi, que no els necessita per a res!

Com veieu per a que un suposat virus o troià s’instal·li de forma invisible al vostre telèfon Android l’usuari ha d’haver tingut un rol molt important durant el procés, i de fet un usuari que no remeni el seu telèfon fent coses a priori no necessàries mai es podrà infectar: totes les seves aplicacions hauran estat descarregades de l’Android Market oficial, les seves aplicacions no tindran permisos que no toquen i a més cap aplicació del seu telèfon tindrà accés a les parts vitals del sistema.

[pe2-gallery class="aligncenter" ]

androids.gif Zoom

androids.gif

[/pe2-gallery]

Android és un exemple de sistema operatiu robust que fins i tot protegeix a l’usuari del seu propi desconeixement. De fet la única forma de contaminar el telèfon és haver executat una sèrie d’accions per a les que es requereix un destacat nivell de coneixement, i si tot i tenir aquest coneixement es pateix alguna infecció només em quedaria recomanar una cosa: llegiu el que el vostre telèfon us pregunta per la pantalla abans d'acceptar.

Tornant a l’article de Joystick que us he indicat al començar l’article, per a que un usuari es contamini amb aquest troià (o amb un altre que a més permeti que remotament prenguin control del vostre aparell) ha de passar el següent:

  • Tenir habilitada la possibilitat d’instal·lar aplicacions de fora de l’Android Market oficial (opció desactivada per defecte) i descarregar aplicacions d’aquests Markets xinesos.
  • Respondre positivament quan el teu telèfon et pregunta si vols atorgar una sèrie de permisos a l’aplicació que res tenen a veure amb l’objectiu inicial del programa descarregat.
  • Ser root al teu Android.
  • Respondre afirmativament quan el teu telèfon et pregunti si vols atorgar permisos de root a aquesta aplicació.
  • Com veieu, tot l’article sembla estar orientat a generar un estat d’alarma en els usuaris poc tecnològics de telèfons Android (precisament els que tenen més ben protegits els seus telèfons sense saber-ho) per a tractar de vendre una aplicació de seguretat que no necessiten per a res.Tant de bó arribi el dia en que aquestes pràctiques malicioses deixin d’existir però fins que arribi aquest dia crec que entre tots hauríem d’intentar denunciar els casos que ens anem trobant. Jo com a mínim intentaré aportar el meu granet de sorra des d’aquí.

    També vull aprofitar per a destacar que estic astorat de la quantitat de mitjans suposadament seriosos i rigorosos, tant del món Android com del món de la seguretat informàtica, que se n'han fet ressò i han col·laborat a difondre la suposada notícia. Son aquestes situacions les que deixen clar quin és l'objectiu de cada mitjà. N'hi ha que busquen informar, i n'hi ha que busquen aconseguir lectors com sigui.

    No em vull acomiadar sense agrair a en Jordi Farréla seva inestimable ajuda a l’hora de contrastar tota la informació continguda en aquest article. Sense la seva aportació la informació present en aquest article no hauria pogut ser tan acurada com finalment ha estat.

    Al fòrum:http://www.vadejocs.cat/smf/index.php/topic,89429.0.html