Español | English
rss facebook linkedin Twitter

Instalar apps de Android vía web

El nuevo market de Android basado en web se hizo público la semana pasada. Hasta entonces sólo era posible instalar aplicaciones desde el móvil. A partir de ahora, a través de la web también es posible instalar aplicaciones directamente en nuestro móvil, y sin necesidad de aceptar previamente la solicitud. Sí, habeis leido bien, sin aceptar previamente la solicitud en el móvil.

Veamos un ejemplo, la primera sorpresa que nos llevamos cuando accedemos a este nuevo servicio es esta:








upss!, Chrome nos avisa que se trata de un sitio mal configurado u otra causa más grave. El problema es el de siempre, usa un certificado válido para todos los dominios de Google pero no coincide con el dominio que estamos accediendo. Como confiamos en el dominio de android.com hacemos caso omiso a esta advertencia y continuamos para probar nuestro pequeño experimento.

1. Elegimos cualquier aplicación del mercado de Android para probar este nuevo servicio, por ejemplo un emulador de IE6, algo muy ligero para realizar esta prueba (no hay ironía aquí. Gracias ayoldi).






2. Pulsamos sobre instalar para cerciorarnos de los requisitos que nos solicitará esta aplicación. Algo muy importante siempre que instalemos aplicaciones en el móvil.












Efectivamente, comprobamos que se trata de una aplicación que no requiere permisos especiales.

3. A continuación la instalamos












Y en cuanto nuestro móvil Android tenga conectividad, bien a través de wifi o 3G, lo siguiente que veremos será:





















Es decir, todo el proceso se ha realizado vía web, lo único que ha hecho falta para instalar una aplicación Android en el móvil, han sido las credenciales de la cuenta de Google.

Con el zeus-mitmo se comprobó como a través de la ingeniería social los creadores del malware fueron capaces de saltarse el segundo factor de autenticación, hasta entonces una de las medidas más seguras para realizar transacciones online con el banco. Pero con este nuevo servicio de Android, unido a que hace ya muchos meses, Google está entre los objetivos de zeus, ni siquiera haría falta el uso de ingeniería social, ya que una vez se tengan las credenciales de Google y las del banco, la operativa fraudulenta seguirá su curso normal.

¿Qué más usos fraudulentos se os ocurren con esta nueva funcionalidad?


Emilio Casbas
S21sec e-crime

5 comentarios:

Anónimo dijo...

Antes de publicar un artículo convendría revisar lo que se escribe.

Llevo días utilizando el nuevo market en diferentes exploradores (Chrome y Firefox) y no hay ningún problema con los certificados SSL.

A lo mejor el primer día dio algún problema, pero entonces este artículo llega una semana y pico tarde... Si no, no incluyas ese dato "anecdótico" al que le dedicas un párrafo de... ¿4?

Facebok dijo...

Dios mío , hasta dónde podremos llegar con la tecnología, cada vez podemos hacer muchísimas mas cosas.

Un saludo
Enrique Robles

Txalin dijo...

La leche, ya podian haber puesto alguna validacion en el movil, que te pregunte si lo quieres instalar o algo. Esto me parece una burrada y de las gordas...

Facebok dijo...

Excelente información , este blog va a favoritos ahora mismo.Te felicito por el valor que aportan los aportes.

Un saludo
Enrique Robles

S21sec e-crime dijo...

@Facebok gracias por el comentario.

@Txalin veremos si en el futuro implementan algún tipo de confirmación. Pero es el eterno debate: usabilidad VS seguridad.

@Anónimo: El problema del certificado SSL existe. Parece que depende desde donde se accede: http://groups.google.com/group/android-discuss/browse_thread/thread/ad414c9857754c57/d648899e7147c9cf?pli=1

Gracias


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login