La investigación revela que detectar y eliminar aplicaciones de spyware para teléfonos inteligentes es un desafío.
Un equipo de científicos informáticos de Nueva York y San Diego descubrió que las aplicaciones de spyware para teléfonos inteligentes que permiten a las personas monitorearse entre sí no solo son difíciles de identificar y detectar, sino que también son propensas a exponer inadvertidamente los datos personales y la información confidencial que recopilan.
Si bien se anuncian como herramientas para supervisar a menores y empleados que usan dispositivos propiedad de la empresa, los abusadores a menudo explotan las aplicaciones de spyware para monitorear en secreto a un cónyuge o pareja. Estas aplicaciones requieren un conocimiento técnico mínimo por parte de los delincuentes, brindan una guía de instalación completa y solo requieren acceso temporal al dispositivo objetivo. Una vez instalados, documentan discretamente el uso del dispositivo de la víctima, incluidos mensajes de texto, correos electrónicos, imágenes y llamadas telefónicas, lo que permite a los atacantes acceder de forma remota a esta información a través de un portal web.
El software espía se ha convertido en un problema cada vez más grave. En un estudio reciente de Norton Labs, la cantidad de dispositivos con aplicaciones de spyware en los EE. UU. aumentó un 63 % entre septiembre de 2020 y mayo de 2021. Un informe similar de Avast en el Reino Unido mostró un asombroso aumento del 93 % en el uso de aplicaciones de spyware en comparación con un período similar. período.
Si desea saber si su dispositivo ha sido infectado por una de estas aplicaciones, consulte su panel de privacidad y la lista de todas las aplicaciones en la configuración, dice el equipo de investigación.
“Este es un problema de la vida real y queremos crear conciencia para todos, desde las víctimas hasta la comunidad investigadora”, dijo Enze Alex Liu, primer autor de No Privacy Among Spies: Evaluating Android Spyware Functionality and Insecurity of the consumer. Aplicaciones y Ph.D. en informática. estudiante de la Universidad de California San Diego.
Liu y el equipo de investigación presentarán su trabajo en el Simposio de Tecnologías de Mejora de la Privacidad en el verano de 2023 en Zúrich, Suiza.
Los investigadores realizaron un análisis técnico en profundidad de las 14 principales aplicaciones de spyware para teléfonos Android. Si bien Google no permite la venta de tales aplicaciones en su tienda de aplicaciones Google Play, los teléfonos Android a menudo permiten que estas aplicaciones invasivas se descarguen por separado en la web. El iPhone, en comparación, no permite esta «carga lateral» y, por lo tanto, las aplicaciones de spyware para el consumidor en esa plataforma tienden a ser mucho más limitadas y menos intrusivas en recursos.
¿Qué son las aplicaciones de spyware?
Las aplicaciones de spyware se ejecutan de forma subrepticia en un dispositivo, la mayoría de las veces sin el conocimiento del propietario del dispositivo. Recopilan una variedad de información confidencial, como ubicación, mensajes de texto y llamadas, así como audio y video. Algunas aplicaciones incluso pueden transmitir audio y video en vivo. Toda esta información se entrega a un atacante a través de un portal de spyware en línea.
Las aplicaciones de spyware se comercializan directamente al público en general y son relativamente económicas, normalmente entre $30 y $100 al mes. Son fáciles de instalar en un teléfono inteligente y no requieren conocimientos especializados para su implementación u operación. Pero los usuarios necesitan acceso físico temporal al dispositivo de destino y la capacidad de instalar aplicaciones que no se encuentran en las tiendas de aplicaciones preaprobadas.
¿Cómo recopilan datos las aplicaciones de spyware?
Los investigadores han descubierto que las aplicaciones de software espía utilizan una amplia gama de técnicas para registrar datos de forma subrepticia. Por ejemplo, una aplicación utiliza un navegador invisible que puede transmitir video en vivo desde la cámara del dispositivo a un servidor de spyware. Las aplicaciones también pueden grabar llamadas telefónicas a través del micrófono del dispositivo, a veces activando la función de altavoz con la esperanza de capturar también lo que dicen las personas que llaman.
Varias aplicaciones también aprovechan las funciones de accesibilidad en los teléfonos inteligentes, diseñadas para leer lo que aparece en la pantalla para usuarios con discapacidades visuales. En Android, estas funciones permiten que el software espía registre las pulsaciones de teclas, por ejemplo.
Los investigadores también descubrieron varios métodos que usan las aplicaciones para ocultarse en el dispositivo objetivo.
Por ejemplo, las aplicaciones pueden especificar que no aparezcan en la plataforma de lanzamiento cuando se abren por primera vez. Los íconos de las aplicaciones también se disfrazan como «Wi-Fi» o «Servicio de Internet».
Cuatro de las aplicaciones de software espía aceptan comandos a través de mensajes SMS. Dos de las aplicaciones que analizaron los investigadores no verificaron que el mensaje de texto proviniera de su cliente y ejecutaron los comandos de todos modos. Una aplicación puede incluso ejecutar un comando que puede borrar de forma remota el teléfono de la víctima.
Lagunas en la seguridad de los datos
Los investigadores también estudiaron la seriedad con la que las aplicaciones de spyware protegen los datos confidenciales de los usuarios que recopilan. La respuesta corta es: no muy en serio. Varias aplicaciones de software espía utilizan canales de comunicación no cifrados para transmitir los datos que recopilan, como fotos, textos y ubicación. Solo cuatro de los 14 que estudiaron los investigadores lo hicieron. Estos datos también incluyen las credenciales de inicio de sesión de la persona que compró la aplicación. Toda esta información puede ser recopilada fácilmente por otra persona a través de WiFi.
En la mayoría de las aplicaciones que analizaron los investigadores, los mismos datos se almacenan en URL públicas accesibles para cualquier persona con el enlace. Además, en algunos casos, los datos de los usuarios se almacenan en direcciones URL predecibles que permiten acceder a los datos de varias cuentas simplemente cambiando algunos caracteres en las direcciones URL. En un caso, los investigadores identificaron una falla de autenticación en uno de los principales servicios de spyware que permitiría que cualquiera pudiera acceder a todos los datos de cada cuenta.
Además, muchas de estas aplicaciones retienen datos confidenciales sin un acuerdo con el cliente o después de que el cliente deja de usarlas. Cuatro de las 14 aplicaciones estudiadas no eliminan datos de los servidores de software espía, incluso si el usuario elimina su cuenta o la licencia de la aplicación caduca. Una aplicación captura datos de la víctima durante un período de prueba gratuito, pero solo los pone a disposición del atacante después de pagar una suscripción. Y si el atacante no obtiene una firma, la aplicación conserva los datos de todos modos.
Cómo luchar contra el software espía
“Nuestra recomendación es que Android imponga requisitos más estrictos sobre qué aplicaciones pueden ocultar íconos”, escriben los investigadores. “La mayoría de las aplicaciones que se ejecutan en teléfonos Android deben tener un ícono que aparece en la barra de inicio”.
Los investigadores también encontraron que muchas aplicaciones de spyware resistieron los intentos de desinstalarlas. Algunos también se reiniciaron automáticamente después de que el sistema Android los detuviera o después de reiniciar el dispositivo. “Recomendamos agregar un tablero para monitorear las aplicaciones que se iniciarán automáticamente”, escriben los investigadores.
Los dispositivos Android usan una variedad de métodos para combatir el spyware, incluido un indicador visible para el usuario que no se puede descartar mientras una aplicación usa el micrófono o la cámara. Pero estos métodos pueden fallar por muchas razones. Por ejemplo, los usos legítimos del dispositivo también pueden activar el indicador del micrófono o la cámara.
“En cambio, recomendamos que todas las acciones para acceder a datos confidenciales se agreguen al panel de privacidad y que los usuarios sean notificados periódicamente sobre la existencia de aplicaciones con una cantidad excesiva de permisos”, escriben los investigadores.
Divulgaciones, salvaguardas y próximos pasos
Los investigadores han publicado todos sus hallazgos a todos los proveedores de aplicaciones afectados. Nadie respondió a las revelaciones a partir de la fecha de publicación del periódico.
Para evitar el abuso del código que han desarrollado, los investigadores solo pondrán su trabajo a disposición de los usuarios que lo soliciten y que demuestren un uso legítimo del mismo.
El trabajo futuro continuará en la Universidad de Nueva York en el grupo del Profesor Asociado Damon McCoy, quien es Ph.D. de la Universidad de California en San Diego. ex alumno. Muchas aplicaciones de software espía parecen estar desarrolladas en China y Brasil, por lo que se necesita un mayor estudio de la cadena de suministro que permita su instalación fuera de estos países.
«Todos estos desafíos resaltan la necesidad de un conjunto de intervenciones más creativas, diversas y completas por parte de la industria, el gobierno y la comunidad investigadora», escriben los investigadores. “Si bien las defensas técnicas pueden ser parte de la solución, el alcance del problema es mucho mayor. Se debe considerar una gama más amplia de medidas, incluidas las intervenciones de pago de compañías como Visa y Paypal, las medidas enérgicas regulares del gobierno y otras acciones de aplicación de la ley también pueden ser necesarias para evitar que la vigilancia se convierta en un producto de consumo”.
Referencia: “Sin privacidad entre los espías: evaluación de la funcionalidad y la seguridad de las aplicaciones de software espía de Android para consumidores” por Enze Liu, Sumanth Rao, Sam Havron, Grant Ho, Stefan Savage, Geoffrey M. Voelker y Damon McCoy, 2023, Procedimientos sobre la mejora de la privacidad Simposio de Tecnologías.
DOI: 10.56553/popets-2023-0013
La investigación fue financiada en parte por la Fundación Nacional de Ciencias y contó con el apoyo operativo del Centro de Sistemas en Red de UC San Diego.