Malware en los dispositivos móviles

Esta es una traducción de la página original en inglés.

Más ejemplos de malware en el software privativo

Malware se refiere al software que es dañino, es decir, que está diseñado de tal forma que su funcionamiento maltrata o daña al usuario (no se tienen aquí en cuenta los errores involuntarios).

El malware y el software que no es libre son dos cosas diferentes. La diferencia entre el software libre y el software que no es libre reside en si los usuarios controlan el programa o por el contrario el programa controla a los usuarios. No es una cuestión directamente relacionada con lo que el programa hace cuando se ejecuta. De todas maneras, en la práctica, el software que no es libre a menudo es también malware. Esto se debe a que el desarrollador, sabiendo que a los usuarios se les ha negado la posibilidad de poner remedio a las funcionalidades maliciosas, se ve tentado a imponer algunas.

Estos son ejemplos de la presencia de malware en los dispositivos móviles. Véase también la página de programas dañinos de Apple, donde se mencionan las funcionalidades maliciosas específicas de las iCosas de Apple.

Tipo de malware

Puertas traseras
Inseguridad
Vigilancia
Gestión Digital de Restricciones o «DRM» significa funcionalidades diseñadas para limitar lo que los usuarios pueden hacer con los datos que tienen en sus ordenadores.
Prisiones: Son sistemas que imponen la censura en los programas de aplicación.
Tiranos: Son sistemas que rechazan cualquier sistema operativo que no esté «autorizado» por el fabricante.

Puertas traseras en los móviles

La puerta trasera universal en los teléfonos móviles se emplea para convertirlos en dispositivos de escucha a través de sus micrófonos.
La mayoría de los teléfonos móviles tienen una puerta trasera universal que ha sido utilizada para convertirlos en maliciosos.
Los dispositivos Samsung Galaxy que ejecutan versiones privativas de Android cuentan con una puerta trasera que permite el acceso remoto a los datos almacenados en el dispositivo.
La puerta trasera de Samsung permite el acceso a cualquier archivo del sistema.
En Android, Google tiene una puerta trasera para eliminar aplicaciones remotamente (está en un programa llamado GTalkService).

Google también puede instalar aplicaciones por la fuerza y remotamente a través de GTalkService (que al parecer se fusionó con Google Play después que se escribió ese artículo). Se trata en fin de cuentas de una puerta trasera universal.

Si bien hasta el momento Google no ha ejercido este poder de manera maliciosa, el hecho es que nadie debe tener tal poder, pues también podría utilizarse con malicia. Uno bien podría tomar la decisión de dejar que un servicio de seguridad desactive remotamente programas que considere maliciosos, pero no hay excusas para autorizar la eliminación de los programas. Debemos tener el derecho de decidir en quién confiar, o de no confiar en nadie.

Inseguridad en los móviles

A diferencia del resto de esta página, los errores que aquí se señalan no son intencionados, por lo que no pueden considerarse malware. Los mencionamos para desmontar la falsa suposición de que el software privativo de prestigio está libre de graves fallos.

Muchos dispositivos Android pueden ser pirateados a través de sus chips Wi-Fi debido a un fallo en el firmware no libre de Broadcom.
Los teléfonos de Samsung tienen un agujero de seguridad que permite que un mensaje de SMS instale ransomware (virus secuestrador del sistema).
Muchas aplicaciones privativas de pago transmiten datos personales de manera insegura. Sin embargo, lo peor de estas aplicaciones es que el pago no es anónimo.
La NSA puede pinchar datos en los teléfonos inteligentes, incluyendo los iPhone, Android y BlackBerry. Si bien el artículo no ofrece mayores detalles, al parecer estos dispositivos no utilizan la puerta trasera universal que, como sabemos, casi todos los teléfonos móviles tienen. Puede que su funcionamiento implique la explotación de diversos fallos. El software de radio de los teléfonos contiene muchos fallos.

Vigilancia en los móviles

La aplicación de Facebook está a la escucha permanentemente, para espiar lo que la gente está escuchando o mirando. Además, puede estar analizando las conversaciones de los usuarios a fin de presentarles anuncios personalizados.
Un trabajo de investigación que estudió la privacidad y seguridad de 283 aplicaciones de VPN para Android concluyó que «a pesar de las promesas de privacidad, seguridad y anonimato expresadas por la mayoría de las aplicaciones de VPN, millones de usuarios podrían, sin saberlo, estar depositando su confianza en falsas garantías de seguridad y siendo objeto de prácticas abusivas por parte de estas aplicaciones».

A continuación presentamos una lista no exhaustiva de aplicaciones de VPN privativas mencionadas en ese trabajo de investigación que rastrean a los usuarios y vulneran su privacidad:

SurfEasy

Contiene bibliotecas de rastreo tales como NativeX y Appflood, pensadas para rastrear a los usuarios y mostrarles anuncios personalizados.

sFly Network Booster

Tras su instalación, solicita los permisos READ_SMS y SEND_SMS, lo que significa que tiene total acceso a los mensajes de texto de los usuarios.

DroidVPN y TigerVPN

Solicita el permiso READ_LOGS para leer los registros de otras aplicaciones y también los del núcleo del sistema. Los desarrolladores de TigerVPN lo han confirmado.

HideMyAss

Envía tráfico a LinkedIn. Además, almacena registros detallados que puede remitir al Gobierno británico si este lo solicita.

VPN Services HotspotShield

Inserta código JavaScript en las páginas HTML reenviadas a los usuarios. El propósito declarado de la inserción de JS es mostrar anuncios. Utiliza unas cinco bibliotecas de rastreo. Además, redirige el tráfico de los usuarios a través de valueclick.com (una página de publicidad personalizada).

WiFi Protector VPN

Inserta código JavaScript en las páginas HTML y utiliza también alrededor de cinco bibliotecas de rastreo. Los desarrolladores de esta aplicación han confirmado que la versón non-premium de la aplicación inserta código JavaScript para rastrear a los usuarios y mostrarles anuncios.
Un estudio de 2015 desveló que el 90% de las principales aplicaciones de Android gratuitas y privativas contenían bibliotecas que rastrean a los usuarios. En el caso de las aplicaciones privativas de pago, la proporción era del 60%.

Este artículo induce a confusión, ya que describe las aplicaciones gratuitas como «libres» (free), cuando la mayoría de ellas no son en realidad software libre. También emplea la fea palabra «monetizar». Un buen sustitutivo de esa palabra es «explotar»; casi siempre encajará a la perfección.
Un estudio descubrió 234 aplicaciones para Android que rastreaban a los usuarios al permanecer a la escucha para captar los ultrasonidos emitidos por comercios o programas de televisión.
Faceapp parece ejercer una amplia vigilancia, a juzgar por la magnitud del acceso que pide a los datos personales presentes en el dispositivo.
Puede haber colusión entre pares de aplicaciones de Android para transmitir datos personales de los usuarios a los servidores. Una investigación ha descubierto decenas de miles de pares de aplicaciones que coluden.
Google Play envía intencionalmente a los desarrolladores de las aplicaciones datos personales de los usuarios que instalan la aplicación.

Pedir el «consentimiento» de los usuarios no es suficiente para legitimar acciones como esta. Llegados a ese punto, la mayoría de los usuarios ya han dejado de leer lo «Términos y condiciones» que detallan lo que estos están «consintiendo». Google debería indicar clara y honestamente la información que recoge de los usuarios, en lugar de ocultarlo en un Contrato de Licencia de Usuario Final redactado de forma enrevesada.

De todos modos, para proteger de verdad la privacidad de la gente, lo que tenemos que hacer en primer lugar es evitar que Google y otras compañías obtengan esta información personal.
Google Play (un componente de Android) rastrea los movimientos de los usuarios sin su permiso.

Aun cuando deshabilite Google Maps y el seguimiento de ubicaciones, para detener por completo el rastreo es necesario deshabilitar el propio Google Play. Este es otro ejemplo de software no libre que aparenta obedecer al usuario cuando en realidad hace algo muy distinto. Algo así sería prácticamente impensable con software libre.
Verizon ha anunciado una aplicación privativa opcional de búsqueda que preinstalará en algunos de sus teléfonos. La aplicación dará a Verizon la misma información acerca de las búsquedas del usuario que Google obtiene normalmente cuando se utiliza su motor de búsqueda.

Actualmente la aplicación se está preinstalando solo en un teléfono, y el usuario ha de dar explícitamente su consentimiento antes de que la aplicación entre en funcionamiento. No obstante, la aplicación es software espía, y un software espía «optativo» sigue siendo software espía.
La aplicación para la edición de fotos Meitu envía datos del usuario a una compañía china.
Esta es una crítica miope de una aplicación rastreadora: descubrió que bburdos fallos permitían a cualquiera husmear en los datos personales del usuario. La crítica no expresa la menos preocupación por el hecho de que la aplicación envía los datos personales a un servidor donde el desarrollador los recopila. ¡Es un «servicio» para incautos!

El servidor tiene seguramente una «política de privacidad», y seguramente no sirve de nada, ya que casi todos la tienen.
Las aplicaciones que incluyen el software de vigilancia Symphony husmea para detectar qué programas de radio y televisión están pasando en las inmediaciones. También espían lo que los usuarios envían a varios sitios tales come Facebook, Google+ y Twitter.
Más del 73% de las aplicaciones móviles para Android, y más del 47% para iOS, comparten con terceros información personal, de comportamiento y ubicación de los usuarios.
«Comunicación críptica», no relacionada con las funcionalidades de la aplicación, se ha hallado en las 500 aplicaciones gratuitas más populares de Android.

El artículo no debería haber descrito estas aplicaciones como «libres», pues no son software libre. La manera correcta de decir que son a «precio cero» es «gratuitas».

El artículo da por hecho que las herramientas de análisis habituales son legítimas, pero ¿es así? Los desarrolladores de software no tienen derecho a analizar lo que hacen los usuarios hacen o cómo lo hacen. Las herramientas «de análisis» que fisgonean son tan malas como cualquier otra forma de fisgonear.
Muchas aplicaciones privativas para dispositivos móviles envían informes sobre cuáles otras aplicaciones el usuario tiene instaladas. Twitter lo hace de una manera que por lo menos es visible y opcional, no tan malo como lo que hacen los otros.
Los teléfonos móviles con GPS envían la ubicación GPS mediante comando remoto y los usuarios no pueden detenerlos: http://www.aclu.org/government-location-tracking-cell-phones-gps-devices-and-license-plate-readers. (EE. UU. dice que eventualmente exigirá que todos los teléfonos móviles nuevos tengan GPS).
Software espía en los teléfonos Cisco VoIP TNP: http://boingboing.net/2012/12/29/your-cisco-phone-is-listening.html.
Software espía en los teléfonos Android y ordenadores portátiles (¿con Windows?): El periódico The Wall Street Journal, en un artículo que no podemos leer a causa de una barrera de pago, informa que el FBI puede activar remotamente el GPS y el micrófono en los teléfonos Android y en los ordenadores portátiles (sospecho que se refieren a los portátiles con Windows). Aquí hay más información.
Algunos teléfonos Motorola modifican Android para enviar datos personales a Motorola.
Algunos fabricantes añaden un paquete de vigilancia general oculto tales como Carrier IQ.
Muchas de las muy difundidas aplicaciones privativas para leer códigos QR espían al usuario. Esto se suma al espionaje por parte de la empresa telefónica y, posiblemente, del sistema operativo del teléfono.

No desvíe su atención pensando en si los desarrolladores de la aplicación solicitan o no que el usuario diga «acepto», esa cuestión no justifica el malware.

DRM en los móviles

Google ahora permite a aplicaciones de Android detectar si un dispositivo ha sido rooteado, y en tal caso impedir su instalación.

Actualización: Google intencionadamente modificó Android para que las aplicaciones puedan detectar los dispositivos que han sido rooteados y se nieguen a funcionar en ellos.
El iPhone 7 contiene DRM específicamente designado para dejarlo inutilizable si lo arregla un taller de reparaciones «no autorizado». «No autorizado» significa básicamente cualquiera que no sea Apple.

El artículo emplea el término «candado» para describir el DRM, pero nosotros preferimos utilizar el término esposas digitales.
Android dispone de funcionalidades especiales para gestionar el DRM.

Los móviles como prisiones

Los dispositivos móviles con Windows 8 son tiranos. Windows 8 en los «dispositivos móviles» es una prisión.

Móviles tiranos

Algunos teléfonos Android son tiranos (aunque alguien encontró una manera de saltarse la restricción). Afortunadamente, la mayoría de los dispositivos Android no son tiranos.