El último agujero de seguridad de Android muestra por qué TI debería considerar una lista de aplicaciones móviles permitidas

Han surgido más dolores de cabeza por la seguridad de las aplicaciones móviles, incluido uno nuevo descubierto por empresa de seguridad móvil Zimperium que no solo roba datos, sino que también puede controlar silenciosamente el micrófono y la cámara, así como eliminar en secreto aplicaciones de seguridad.

TI, en su mayor parte, se ha vuelto bastante decente en el control de aplicaciones en dispositivos corporativos, pero protege las aplicaciones que se agregan. después que se emiten a los empleados es más débil de lo que debería ser. Cuando se trata de dispositivos BYOD, que son propiedad de empleados y contratistas, los administradores de TI y seguridad deben ser mucho más estrictos.

La mayoría exige una variedad de aplicaciones empresariales (más o menos) seguras para su funcionalidad, así como aplicaciones de seguridad críticas para su protección. Ahí es donde las cosas se ponen pegajosas. ¿Hasta dónde pueden – y deben – llegar las personas de TI y seguridad para proteger los datos, las redes y los dispositivos corporativos?

Por un lado, el dispositivo es propiedad del empleado / contratista y aparentemente tiene derecho a descargar la aplicación que desee. Pero, ¿ese derecho tiene un límite cuando amenaza la seguridad de la empresa? ¿Es suficiente particionar los sistemas empresariales? (Ya sabe la respuesta: no, por supuesto que no es suficiente). Una vez que una aplicación de malware obtiene el control del dispositivo, normalmente puede acceder a todo o casi todo.

Veamos la última amenaza.

A diferencia de otras campañas de software espía que suelen aprovechar las vulnerabilidades del dispositivo, esta campaña, conocida como PhoneSpy, se esconde a la vista de los dispositivos de las víctimas, haciéndose pasar por aplicaciones legítimas de estilo de vida de Android, desde la transmisión de TV hasta la instrucción de yoga. En realidad, sin embargo, el software espía exfolia sigilosamente los datos del dispositivo de la víctima, incluidas las credenciales de inicio de sesión, los mensajes, la ubicación granular precisa y las imágenes. PhoneSpy también es capaz de desinstalar cualquier aplicación, incluidas las aplicaciones de seguridad móvil ”, señaló. un excelente informe en TechCrunch.

“Los investigadores de la firma de seguridad móvil Zimperium, que descubrió PhoneSpy dentro de 23 aplicaciones, dicen que el software espía también puede acceder a la cámara de una víctima para tomar fotografías y grabar videos en tiempo real, y advirtieron que esto podría usarse para chantaje y espionaje personal y corporativo. Lo hace sin que la víctima lo sepa, y Zimperium señala que, a menos que alguien esté observando su tráfico web, sería difícil de detectar ”.

Hay muchos pensamientos buenos y aterradores en esa cita. Comencemos con “a menos que alguien esté observando su tráfico web”. Esa es una práctica excelente y, sin embargo, pocas operaciones de TI lo hacen incluso con sus teléfonos emitidos por la empresa, y mucho menos con los dispositivos BYOD.

La peor parte de PhoneSpy es su capacidad para eliminar subrepticiamente aplicaciones de seguridad, lo que efectivamente elimina la mayoría de los programas de seguridad móvil empresarial.

Por supuesto, la verdadera pregunta es por qué Google tiene un control de seguridad tan débil para sus aplicaciones. (Y sí, el sistema de Apple es igual de malo). Pero no todas las aplicaciones vienen a través de Google Play y PhoneSpy es una de ellas. Se envía a través de las redes sociales y otros entornos, y el usuario debe aceptar descargarlo.

Este tipo de problemas de seguridad son una de las razones por las que Apple ha adoptado una postura tan pública contra las aplicaciones de “carga lateral” fuera de su propia App Store. Eso no significa que las tiendas de aplicaciones estén 100% libres de malware, pero es el salvaje oeste fuera de esos mercados.

Esa es la realidad con la que la TI empresarial, y ciertamente los CISO empresariales, deben lidiar. Una solución sería exigir que TI apruebe al menos cualquier aplicación que no esté en una lista de permitidos corporativos ampliamente difundida. Pero eso no significa que los administradores deban emitir juicios sobre las aplicaciones personales, ya sea un juego, un programa de salud o algo más atrevido. El enfoque debe permanecer en lo que es peligroso.

Y como muestra PhoneSpy, hay mucho peligro ahí fuera.

Copyright © 2021 IDG Communications, Inc.