#BBM para #Android. Cuando la ansiedad es enemiga de la seguridad
La empresa BlackBerry anunció oficialmente hace pocos días que publicaría su BlackBerry Messenger (BBM) como apps para celulares Android (el 21/9) y iPhone (el 22/9). Ya no más una aplicación cerrada de usuarios de BB.
Hasta este momento, mañana del lunes 23, la app BBM para Android continúa demorada, como informamos ayer. Por otro lado BBM para iPhone fue publicada sin problemas según el cronograma anunciado.
Volviendo a la versión de Android, algo notable que explica BlackBerry en su blog donde informa de la demora es que:
El caso es que esta versión no oficial, según BB, estuvo causando problemas y la gente de BBM detrás de ello muy ocupados para darle soporte y solucionarlo. A tal punto que desactivaron la app no oficial y quienes la instalaron deberán esperar el lanzamiento oficial, la app filtrada ya no funciona.
Hasta aquí los hechos. Veamos desde el punto de vista de la seguridad:
BlackBerry: se les filtró una versión del apk. Una falla que podría haber resultado en un desastre; por suerte solo provocó frustración y enojo de muchos con la compañía que además demoró el lanzamiento.
Para instalar el apk no oficial hay que activar Origenes desconocidos en Android: los casos de excepción para activar esta opción debieran ser solo en casos que se instala una aplicación propia o empresarial, o el caso de un proveedor confiable que, por algún motivo, no la publicó en el Google PlayStore, o el caso del Amazon AppStore.
Nadie garantiza que el apk no haya sido intervenido, troyanizado o alterado para comprometer el celular: es bien sabido que los paquetes de aplicaciones pueden, y de hecho son, intervenidos para agregar funcionalidades maliciosas como malware, espías, publicidad no consentida, y otros. Incluso algunos se filtran en el Google PlayStore, pero suelen ser removidos en poco(?) tiempo por Google.
Aparecieron una decena de apps BBM falsas o engañosas en Google Play Store: aunque no sabemos que hayan tenido un fin malicioso, varios miles de personas descargaron estas e incluso había cientos de calificaciones positivas y escasas negativas mencionando que era un fake, una aplicación falsa. Google removió la mayoría en el día.
Más de un millón de personas lo instalaron y activaron.: Esto muestra la falta de conocimiento, o la poca valoración por la seguridad que poseen muchos usuarios. La ansiedad los llevó a instalar una app no segura.
Eventos o noticias masivas son utilizadas por los atacantes: No tenemos conocimiento que este apk efectivamente fuera afectado con fines maliciosos, pero los hechos muestran que los atacantes suelen aprovechar fenómenos masivos para realizar envenenamiento de búsquedas y plantar sitios falsos con exploit-kits. Nada impide que realicen intervenciones a apps filtradas o falsamente filtradas. De hecho circulan spam malicioso con anuncios sobre alguna aplicación para pescar incautos ansiosos.
Comentaristas de tecnología y blogs populares recomendando lugares para descargar e instalar el apk no oficial: Lamentablemente algunos pocos periodistas de tecnología recomendaron de donde descargar el apk filtrado. También diversos blogs recomendaron instrucciones y sitios de almacenamiento web de donde bajar el apk. Prácticamente nadie reparo o mencionó nada sobre la seguridad, respecto del riesgo de instalar esta (o cualquier) app no oficial. Periodistas y bloggers: en su afán de estar en lo último y mantener a sus seguidores, no se preocuparon por la seguridad y difundieron el apk no oficial e instrucciones para bajar la seguridad e instalarla.
No parece que este incidente vaya a crear o aumentar algún nivel de conciencia sobre la seguridad en los distintos actores mencionados. Normalmente eso sucede solo cuando ocurre un desastre. En este caso no sucedió.
Esperamos que sirva a lector estas observaciones para comprender que cuidados debe observar para evitar problemas.
Raúl de la Redacción de Segu-Info
Hasta este momento, mañana del lunes 23, la app BBM para Android continúa demorada, como informamos ayer. Por otro lado BBM para iPhone fue publicada sin problemas según el cronograma anunciado.
Volviendo a la versión de Android, algo notable que explica BlackBerry en su blog donde informa de la demora es que:
El interés y entusiasmo que ya hemos visto - más de 1,1 millones de usuarios activos en las primeras 8 hora sin siquiera haber lanzado la aplicación oficial- es increíble.Es que durante la semana se filtró el apk de BBM, el paquete con la aplicación. Y muchos lo descargaron de distintos sitios no oficiales principalmente sitios de almacenamiento web como Mega y otros.
El caso es que esta versión no oficial, según BB, estuvo causando problemas y la gente de BBM detrás de ello muy ocupados para darle soporte y solucionarlo. A tal punto que desactivaron la app no oficial y quienes la instalaron deberán esperar el lanzamiento oficial, la app filtrada ya no funciona.
Hasta aquí los hechos. Veamos desde el punto de vista de la seguridad:
BlackBerry: se les filtró una versión del apk. Una falla que podría haber resultado en un desastre; por suerte solo provocó frustración y enojo de muchos con la compañía que además demoró el lanzamiento.
Para instalar el apk no oficial hay que activar Origenes desconocidos en Android: los casos de excepción para activar esta opción debieran ser solo en casos que se instala una aplicación propia o empresarial, o el caso de un proveedor confiable que, por algún motivo, no la publicó en el Google PlayStore, o el caso del Amazon AppStore.
Nadie garantiza que el apk no haya sido intervenido, troyanizado o alterado para comprometer el celular: es bien sabido que los paquetes de aplicaciones pueden, y de hecho son, intervenidos para agregar funcionalidades maliciosas como malware, espías, publicidad no consentida, y otros. Incluso algunos se filtran en el Google PlayStore, pero suelen ser removidos en poco(?) tiempo por Google.
Aparecieron una decena de apps BBM falsas o engañosas en Google Play Store: aunque no sabemos que hayan tenido un fin malicioso, varios miles de personas descargaron estas e incluso había cientos de calificaciones positivas y escasas negativas mencionando que era un fake, una aplicación falsa. Google removió la mayoría en el día.
Más de un millón de personas lo instalaron y activaron.: Esto muestra la falta de conocimiento, o la poca valoración por la seguridad que poseen muchos usuarios. La ansiedad los llevó a instalar una app no segura.
Eventos o noticias masivas son utilizadas por los atacantes: No tenemos conocimiento que este apk efectivamente fuera afectado con fines maliciosos, pero los hechos muestran que los atacantes suelen aprovechar fenómenos masivos para realizar envenenamiento de búsquedas y plantar sitios falsos con exploit-kits. Nada impide que realicen intervenciones a apps filtradas o falsamente filtradas. De hecho circulan spam malicioso con anuncios sobre alguna aplicación para pescar incautos ansiosos.
Comentaristas de tecnología y blogs populares recomendando lugares para descargar e instalar el apk no oficial: Lamentablemente algunos pocos periodistas de tecnología recomendaron de donde descargar el apk filtrado. También diversos blogs recomendaron instrucciones y sitios de almacenamiento web de donde bajar el apk. Prácticamente nadie reparo o mencionó nada sobre la seguridad, respecto del riesgo de instalar esta (o cualquier) app no oficial. Periodistas y bloggers: en su afán de estar en lo último y mantener a sus seguidores, no se preocuparon por la seguridad y difundieron el apk no oficial e instrucciones para bajar la seguridad e instalarla.
Esperamos que sirva a lector estas observaciones para comprender que cuidados debe observar para evitar problemas.
Raúl de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!