El espía que vino del silicio
Un alto porcentaje de las aplicaciones de telefonía móvil graban la pantalla y envían esos datos a terceros.
Internet y las tecnología de comunicación móvil han llegado tan rápido que no hemos sido capaces de adaptarnos.
Nos parece normal que el que nos acompaña en una cena de restaurante esté consultado su móvil cada por por tres, que lo use en la sala de cine. También es habitual que el que está en el mismo vagón del transporte público hable a grito pelado con su móvil o nos deleite con «música» de allende los mares emitida por el mismo dispositivo.
Además, al ruido físico se le añade el ruido de ideas. Ahora, todo hijo de vecino tiene una opinión, una postura o algo que decir en las redes sociales y otros medios de Internet. Antes pasábamos hambre de conocimiento, ahora sufrimos de una obesidad de información. Consumimos opiniones, pero no nutrimos nuestra mente. No hay conocimiento, solo un tejido adiposo informativo. Encontrar el grano entre la paja es cada día más difícil.
Encima está el afán de los poderosos por controlar nuestras conductas y nuestras mentes a través del uso de esos medios, desde las redes sociales que encumbraron a Obama a la minería de datos que puso en donde está a Trump.
Ahora se une a todo ello el espionaje masivo, no ya de los gobiernos, que siempre lo han hecho, sino de los que nos dan todas esas aplicaciones gratuitas que instalamos en nuestros smarphones.
David Choffnes, Christo Wilson, Elleen Pan y Jingjing Ren (todos de Northeastern University) se pusieron a investigar la leyenda urbana que sostiene que nuestros celulares o móviles se dedican a grabar nuestras conversaciones para así diseñar publicidad dirigida al usuario.
Estos investigadores analizaron más de 17000 aplicaciones del sistema Android usando una programa que escribieron ellos mismos.
No encontraron pruebas de espionaje sonoro, pero lo que descubrieron fue mucho peor. Algunas de las aplicaciones más populares capturan secretamente la pantalla del smartphone para grabar la actividad del usuario y envía esas capturas y vídeos a terceros. Entre esas capturas podrían estar las claves y números de tarjetas de crédito, nombres de usuarios y sus contraseñas asociadas, lo que escribimos y otras informaciones confidenciales.
Además, no se trataba de encontrar una aguja en el pajar, sino que el fenómeno era muy frecuente. De las 17000 aplicaciones analizadas, 9000 tenían capacidad de enviar capturas. Uno de los casos envíaba vídeos de lo que sucedía en la pantalla. Se trataba de GoPuff, una aplicación de envío de comida a domicilio y que mandaba los vídeos capturados a Appsee.
Con ello estos investigadores han conseguido demostrar lo fácil que sería explotar el sistema para conseguir beneficios o cometer ilegalidades.
Según Wilson esta tecnología se podría usar para fines maliciosos y los más preocupante es que en ningún momento se pide el consentimiento o se notifica al usuario para hacer algo así.
En los casos que han encontrado se trataba de códigos postales, pero el sistema se podría modificar fácilmente para enviar números de tarjetas de crédito. Otras veces se usa esta información para mejorar la experiencia de usuario con la aplicación. En todo caso no se informa de ello.
Aunque analizaron sólo aplicaciones del sistema Android, Wilson y Choffnes dicen que no hay razones para pensar que los demás sistemas operativos sean menos vulnerables.
Copyleft: atribuir con enlace a http://neofronteras.com
Fuentes y referencias:
Nota de prensa.
Foto: Northeastern University
15 Comentarios
RSS feed for comments on this post.
Lo sentimos, esta noticia está ya cerrada a comentarios.
domingo 8 julio, 2018 @ 5:19 pm
‘El diablo cojuelo’ transportado a los tiempos de la electrónica. Ahora el ‘diablo agradecido que va levantando los techos de las casas’ que imaginara su autor, Luís Vélez de Guevara, ese el móvil. Bueno,y al parecer también los televisores inteligentes, de los que se asegura que hay algunos modelos que son capaces de grabar conversaciones de personas cercanas al aparato, sin que éstas sean conscientes de ello.
domingo 8 julio, 2018 @ 10:31 pm
Bueno, esto es un alarmismo innecesario. Este cacharro que estoy usando se comunica, más exactamente, lo intenta, con mi casa. El fabricante. Chino. En China. No puede hacerlo porque le puse una APP llamada NoRoot Firewall donde constato que se vuelve loco por llamar a China. Como funciona igual cerrándole el grifo, pues se lo cierro. Qué diferencia con las aplicaciones internas de Android, que como no les deje llamar a casa el parato no carbura ni en chiste.
En el firefox, como en el equipo de escritorio (es un decir…), tengo instalado NoScript y PrivacyBadger, aparte de HTTPS Everywhere. El NoScript es simplemente estupendo, esta es la **única** web de las que visito que no hay ninguna diferencia, para leer, entre acceder sin autorizar scripts o autorizándolos. Sólo hay que autorizar para comentar, lo cual no sólo es lógico sino que revela la honestidad 100% de la filosofía de la página. Hay páginas web de campanillas donde entro a script bloqueado (Como Debe Ser) y lo que veo es una pantalla en blanco. Tal cual. Y como la lista de scripts a desbloquear es, literalmente, kilométrica, e incliye urls de muy mal rollo estilo damiargodetusdatos.com, como que paso. Olympic style. El de Zeus. No el del COI.
Pero todo lo demás es llover sobre mojado, y en realidad soy más optimista que pesimista, porque hoy es más factible que sepamos cosas que no se quiere que se sepan que en el pasado, aunque a Snowden no le hacen mucho caso. Claro que la esto puede ser por factores intrínsecos de la tecnología o bien porque los de la sartén por el mango todavía no le han pillado el tranganillo al invento. Ambas cosas, seguramente.
Porque la historia de las carreras de armamento dejan como enseñanza eso, que son carreras, que no se pueden ganar por ventaja tecnológica (ni siquiera a medio plazo), que simplemente todo se adapta a nuevas reglas y el cuadro general cambia de forma pero no de fondo. Bueno, sí hay una forma, pero no de ganar, sino de perder, y es desfondar el presupuesto en esa carrera. Y el presupuesto aquí lo ponen los de la cofradía.
martes 10 julio, 2018 @ 12:23 pm
¿Cómo es posible que el Google Maps de mi iPhone sepa que contraté una estancia en un hotel de Baiona (Galicia), con mi PC, a través de Booking?. El Gran Hermano hace años que ha llegado.
Saludos.
martes 10 julio, 2018 @ 2:27 pm
Si, hace rato que legó para quedarse, y no es ruso ni chino ni iraní.
martes 10 julio, 2018 @ 2:28 pm
….llegó ….
martes 10 julio, 2018 @ 7:06 pm
Ricard, seguro que ha oído la expresión «trampa para canarios». La técnica es vieja como ella sola.
En España tenemos un problema con el DNI, hay cosas que otros países nos llevan ventaja, EEUU, RU, y muchos otros países, no tienen documento de identidad ni equivalente, aquí al lado la constitución portuguesa prohíbe expresamente que cada ciudadano tenga un único número, o referente, administrativo -lo que es exactamente nuestro DNI-, y por supuesto prohíbe taxativamente barajar y cotejar bases de datos. Uno puede pagar una estancia donde quiera con una tarjeta virtual de su entidad bancaria creada por ese importe y para efectuar ese único pago, o puede tener un número de la seguridad social o tener su número del sistema de salud (que por si fuera poco, ya lo han hecho estatal, supongo que faciltar el tráfico y venta de datos), da igual, tan pronto uno escupa su DNI está fichado.
No he llegado a acumular muchos DNIs (documentos físicos), en parte por mi desidia a la hora de renovarlos (he llegado a estar hasta seis años caducado). Para votar sirve el de conducir. Sin embargo, antes o después hay que renovarlo, para un trámite ineludible (p.ej. simplemente una oposición, cortesía de la admon. Aznar). Después de dejar caducar mi DNI penúltimo, tuve que renovarlo por una causa de estas (curiosamente, con un papel administrativo que me daba prioridad, lo que sólo me hizo tener que esperar 4 horas en la comisaría), al momento de renovarlo le pedí a la atenta funcionaria que me anulase la firma electrónica y por extensión, de ser posible, el chip al completo.
Si me pongo a dar vivas a una extinta organización terrorista yo creo que el pollo que se arma es infinitamente menor. Incluyendo el apostolado de la firma electrónica que me tuve que tragar. Pero me anularon todo.
Fue tontería para ná. Hace poco acaban de anularlas todas (la administración), porque como ya era sabido desde que salieron, eran hackeables. Lo que no te cuentan es que si la activas (algo que también es hackeable), esa firma la ley la considera como tuya propia emitida por ti (está a tu custodia), así tengas un documento notarial que certifique que has hecho picadillo el DNI delante del notario en una trituradora (lo cual no sé ahora si es delito o mera falta administrativa) antes de los autos que se te atribuyen.
Cuando venga la próxima tormenta solar nuestra sociedad va a ser una risa.
miércoles 11 julio, 2018 @ 9:15 am
Puesto que en esto estamos y aunque no sé si viene a cuento, ayer me dieron un buen disgusto con el cabreo correspondiente: me llama una voz femenina que dice ser del departamento de fidelización de la compañía que me da el servicio de telefonía, internet y todo eso, para decirme que voy a estar cuatro meses sin servicio, pero que la facturación seguirá llegando mensualmente. Me lo tomo a broma pero me insiste en que es cierto y que eso les va a pasar a muchos otros usuarios -como consuelo-, asegurándome que no es una broma.
Llamo a mi compañía y me informan de que no es cierto. Al poco me llaman de Vodafone -la nombro a propósito por si a alguien le pasa- que ya llevaba unos días ofreciéndome tarifas bajas y, como es natural los mando a freír espárragos.
Todo esto resulta intolerable. No cesan de llamar con cortesía e insistencia. Para enfado descomunal.
miércoles 11 julio, 2018 @ 9:20 am
Si quieren borrar el nombre de la compañía, pueden hacerlo. Al fin y al cabo la cosa debe ser algo usual.
miércoles 11 julio, 2018 @ 10:57 am
Dr. Thriller, curioso lo del DNI. Nunca he usado el chip ni la firma electrónica (el pin lo extravié en mi archivador, cual arca de la alianza en el almacen de un museo…).
Esto del número del DNI se parece peligrosamente a un tatuaje de por vida.
miércoles 11 julio, 2018 @ 3:55 pm
Sí, estimado Tomás, los hdlgp de Vodafone se dedican a molestar a mucha gente.
jueves 12 julio, 2018 @ 12:07 am
Tomás, no te hagas mala sangre. De todos modos, ya que has comentado varias veces que ves la vida desde una amplia perspectiva, osaría sugerirte que explotes el tema en tu beneficio. Lo de hacer teatro no es cosa para recomendar, y a fin de cuentas incluso un sinvergüenza en un puesto de teleoperador es una persona y un trabajador (bueno, o al menos un explotado), pero seguro que tienes buena inventiva si consideras la idea interesante.
Eso del teleoperata sentado en una silla incómoda y que se le acerca un sargento mayor nazi con unos cascos inalámbricos y que lo agarra de los hombros gritando «vamos, vamos, sácale la cuenta, ¡sacásela ya!» no es en absoluto una leyenda urbana. Y mienten (los teleoperatas) a tumba abierta, lo sé porque tengo amigos que han trabajado y ya que estais hace años con un proveedor de internet famoso por ser de un cubano de pizzas.
Ricard, esta mañana estuve haciendo cola en una administración pública para pagar, monetariamente, unas obligaciones ciudadanas. Como la cola era muy cola y mucha cola (dos horas) y los sitios cerrados con mucha gente ponen nerviosas a mis lombrices, me puse a recorrer el chiringo al punto de traspasarle gran parte de mi sanvitismo al segurata, que no acababa de calibrar si era idiota o peligroso, sin dejar de ser idiota. Entre unas y otras, fui a dar al tablón de anuncios, donde entre otros varios avisos venía copiosa información sobre una oferta de empleo público con una luenga lista de presentados, y como es de recibo en todo concurso oposición, nombres, apellidos y DNI de los interfectos (las cuatro plazas fueron a unos caballeros que traían más puntos de concurso que los que daba la oposición en sí). A mí esto siempre me pareció exagerado, porque con un número de DNI se puede hacer daño. Es un delito, naturalmente, pero precisamente por eso tenemos puertas en las casas y las dejamos cerradas.
jueves 12 julio, 2018 @ 7:50 am
¡O sea, la administración cometiendo una ilegalidad a foro abierto! Nunca había caído en ello. ¿Y los publicados no pueden pedir una indemnización?
jueves 12 julio, 2018 @ 1:00 pm
No, no, si precisamente es legal. El mero hecho de presentarte a unas oposiciones vuelve público tu DNI, puedes comprobarlo sin problemas en Google o cualesquier buscador, aparte de pedir los datos a la administración. Lo que es mi opinión es que no veo qué aporta eso a la transparencia en un país opaco como él sólo (y con cloacas máximas à la romaine), y sí a la indefensión del afectado. También es, o era, no sé si ha cambiado, usual publicar los datos de selectividad acompañados del DNI (no en los listados facilitados a la prensa), esto sí que no es para ningún concurso público y en otros países este tipo de pruebas (lo que es la selectividad, sólo existe en España y Portugal, y la portuguesa es muchísimo más difícil como puedes comprobar igualmente buscando exámenes en internet) ni siquiera se publican los nombres, sino el número de examinado que sólo conoce el interfecto. Es corriente igualmente en otro tipo de listados publicar el DNI (p.ej. adjudicación de viviendas protegidas, notas de universidad, etc.), en estos casos desconozco lo que dice la ley. También es usual que se publiquen listados de infractores administrativos (multas de tráfico, p.ej.) en los boletines oficiales (provinciales, CCAA, del Estado), y también puntualmente vienen acompañados de su número del DNI.
Somos un país muy raro. Con un código penal muy raro. Por envenenar el Tajo te caen penas muy leves y multas como muy de coña, y no digamos casos «de género», pero como se te ocurra cuestionar La Autoridad te cae la del pulpo…
miércoles 18 julio, 2018 @ 11:13 am
Dr, alarmado por tu último post se me ha ocurrido poner mi DNI en el Google. Todavía me rio. Y más en búsqueda de imágenes. Se conoce que hace años que no me presento a opos o cosas así…
jueves 19 julio, 2018 @ 8:53 am
Animado por RicardM, he hecho lo mismo y me sale mucha publicidad de hoteles y, en las imágenes, algún chalet, una especie de ET y, entre otras asombrosidades, Angela Merkel. Muy curioso.