Investigadores construyen fuerte botnet de 8.000 smartphones
Buscando elevar el nivel de concientización acerca de las implicaciones de seguridad de las aplicaciones de terceros para celulares tipo smartphone, un par de investigadores de seguridad usaron como señuelo una aplicación del tiempo para comandar unos 8.000 dispositivos iPhones y Android en una botnet móvil
El proyecto de investigación, tratado primero por Kelly Jackson Higgins de Dark Reading, fue develado en la conferencia de este año de RSA para mostrar como las inofensivas parece las aplicaciones de smartphone pueden cosechar información sensible del usuario, incluyendo coordenadas GPS y números telefónicos.
El proyecto es la creación de Derek Brown y Daniel Tijerina del grupo Digital Vaccine Group de TippingPoint. Según el informe, la aplicación experimental enlaza al sitio web Weather Underground y provee información de pronostico del tiempo local y otras para sus usuarios.
Fue creado y enviado a los repositorios que ofrecen aplicaciones para Android y los iPhones desbloqueados. Se debe aclarar que solo los iPhones desbloqueados fueron atrapados en esta prueba de concepto de botnet. Los investigadores dijeron que evitaron el almacén de iPhone de Apple por el estricto proceso de seguridad de Apple, que incluye firma del código.
Del artículo de Dark Reading:
Para probar los peligros de una red bot móvil, el informe dice que la pareja también escribió una versión maliciosa de la aplicación del tiempo que corre código de bot y puede obtener información de contactos, cookies, y direcciones físicas, y puede enviar rachas de spam.
Los investigadores dicen que no tienen planes de liberar la aplicación maliciosa.
Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet
El proyecto de investigación, tratado primero por Kelly Jackson Higgins de Dark Reading, fue develado en la conferencia de este año de RSA para mostrar como las inofensivas parece las aplicaciones de smartphone pueden cosechar información sensible del usuario, incluyendo coordenadas GPS y números telefónicos.
El proyecto es la creación de Derek Brown y Daniel Tijerina del grupo Digital Vaccine Group de TippingPoint. Según el informe, la aplicación experimental enlaza al sitio web Weather Underground y provee información de pronostico del tiempo local y otras para sus usuarios.
Fue creado y enviado a los repositorios que ofrecen aplicaciones para Android y los iPhones desbloqueados. Se debe aclarar que solo los iPhones desbloqueados fueron atrapados en esta prueba de concepto de botnet. Los investigadores dijeron que evitaron el almacén de iPhone de Apple por el estricto proceso de seguridad de Apple, que incluye firma del código.
Del artículo de Dark Reading:
En el lapso de una hora después de cargada la aplicación en los sitios SlideME y ModMyI, los investigadores tuvieron 126 descargas, y 702 después de ocho horas. “Luego de 24 horas, teníamos .,862,” dijo Tijerina. Y hasta ayer, la cuenta era de 7.800 iPhones y Androids corriendo la aplicación. “Esto fue realmente sorprendente porque si fuera código malicioso, serían muchos bots que podríamos controlar," agregó.
Para probar los peligros de una red bot móvil, el informe dice que la pareja también escribió una versión maliciosa de la aplicación del tiempo que corre código de bot y puede obtener información de contactos, cookies, y direcciones físicas, y puede enviar rachas de spam.
Los investigadores dicen que no tienen planes de liberar la aplicación maliciosa.
Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!