Las estafas SMS encaminadas a hacerse con control de nuestro dispositivo, obtener toda nuestra lista de contactos para conseguir más víctimas potenciales y finalmente hacerse con nuestros datos bancarios fueron uno de los temas tecnológicos en España en 2021. El primer día del año pasado ya contamos que había una aplicación de Correos que controlaba nuestro smartphone y que resultaba difícil de desinstalar. Más tarde, le siguieron clones de todas las empresas de mensajería, y supimos que el software utilizado para ello se llamaba FluBot.
Solo en marzo de 2021, FluBot ya había infectado 60.000 teléfonos y robado el número de 1 de cada 4 españoles. Sobre estos casos, la Policía Nacional contó a Genbeta que estimaban que "la ganancia media puede estar en torno a los 15.000 - 20.000 euros, aunque siempre hay casos en que la pérdida es inferior y algunos en los que es bastante superior (hemos llegado ver alguno de cerca de 100.000 euros)".
Los SMS de phishing que hemos recibido recientemente ya no invitan tanto a instalar una aplicación fraudulenta, sino a introducir nuestros datos bancarios en webs que simular ser la de Caixabank, Santander o BBVA. Sin embargo, el daño del año pasado está hecho, y parte de la culpa del éxito de FluBot se explica desde el funcionamiento de Android, pues iOS en los iPhone nunca tuvo una vulnerabilidad que permitiera a un atacante hacerse con el control de nuestro dispositivo y nuestra pantalla de esta forma.
Los atacantes se aprovecharon de cómo funcionan los permisos de Accesibilidad de Android, y ahora Google quiere solucionarlo en Android 13, según conocemos por Esper.
Qué ocurre a día de hoy y qué quiere cambiar Google
El gran problema de Flubot fue que dar permisos tan avanzados al malware solo suponía un par de toques por parte del usuario.
Lo que hizo que Flubot fuera tan potente es que los atacantes crearon aplicaciones clon de Correos, FedEx, MRW y más, y lograron engañar a miles de usuarios haciéndolas pasar por aplicaciones legítimas. Tras ello, lo que propició que para los atacantes fuera tan fácil controlar los dispositivos al completo fue tras abrir las aplicaciones por primera vez, el sistema preguntaba al usuario si quería permitir que la aplicación "controlara totalmente el dispositivo". Eso que a día de hoy, incluso en Android 12, concede el servicio/permiso de accesibilidad: poder casi ilimitado.
En iOS, el sistema nunca preguntará al usuario si quiere permitir algo así en su dispositivo, porque es un sistema más cerrado pensando en lo que la falta de seguridad podría acarrear en casos como esto. Google es más abierta y deja más libertad. Una alerta de del tipo "¿Quieres permitir que FedEx pueda controlar totalmente tu dispositivo", indicando permisos como ver y controlar toda la pantalla, que debería hacer saltar todas las alarmas del usuario, ha demostrado no ser suficiente.
El problema actual, tiene que ver, sobre todo con las aplicaciones que instalamos manualmente con un archivo .apk, práctica conocida en inglés como sideloading. Según cuentan en Esper, las aplicaciones que instalamos por la vía más común en Android, la Google Play Store, ya tienen aplicadas limitaciones a la API de Accesibilidad. Es paradójico que la limitación se haya aplicado antes en la tienda de Google, donde se presupone una revisión de las aplicaciones, y no a aplicaciones instaladas desde fuentes externas que no tienen por qué ser bienintencionadas.
Lo que Google va a hacer en Android 13, según ha confirmado a Esper, es que todo siga igual para aplicaciones instaladas fuera del Google Play pero que también se hayan instalado en el dispositivo a través de otra tienda de apps, como la Amazon App Store o F-Droid. Es decir, estas aplicaciones seguirán teniendo acceso a las APIs de accesibilidad sin sufrir grandes restricciones.
El gran cambio va a llegar para las aplicaciones descargadas de internet manualmente, o que hayamos recibido en aplicaciones como WhatsApp, Telegram, Gmail, etc. Cuando instalemos estas aplicaciones y al abrirlas se nos pida activar el el permiso de accesibilidad, el sistema automáticamente bloqueará ese intento del usuario, aunque sea voluntario. Es decir, que incluso conociendo al 100% los riesgos y estando totalmente convencidos de querer dar a esa aplicación el control total de nuestro móvil, no podremos.
Imagen de Esper. Esto es lo que ocurrirá cuando voluntariamente deseemos eliminar las restricciones del sistema.
Lo que sí podrá hacer el usuario por su propia cuenta es ir a a Ajustes y buscar la "Información de la aplicación". Una vez estemos en la ventana de nuestra aplicación, sí podremos darle al botón de "Permitir ajustes restringidos" que se encuentra escondido bajo un submenú. Esto volvería a permitir que la app en cuestión se haga con el control de nuestro dispositivo, si queremos.
Tendremos que ver esta implementación para concluir cuán difícil es saltársela, pero lo importante es que alejará mucho del usuario medio la posibilidad de aceptar un permiso que te advierta de que va a controlar totalmente tu móvil. Riesgos siempre habrá, pero mucho más escondidos.
Ahora, el único problema es que esto dependa de Android 13. En noviembre de 2021, tras haberse lanzado ya Android 12, Android 11 estaba solamente en un 24,3% de los terminales. Eso quiere decir que pasarán años hasta que la mayoría de usuarios puedan disfrutar de esta protección en tiempo real de Android 13.
Ver 15 comentarios