Malware de fabrica en Android, Blackberry e iPhone

Por mis conocidos es bien sabido que para mi los Smartphones con Android no son unos dispositivos que me emocionen especialmente. Veo a Android lleno de bugs (actualmente 14.768), un sistema inestable en comparación con otros. Y de libre, vamos a dejarlo, com mucho está en libertad vigilada (por Google).

Pero ese no es el motivo de este artículo, sino la noticia que hace unos días ha saltado en XDA Developers, donde se habla del supuesto peligro que tienen diversos dispositivos (HTC Androids, Samsung Androids, Blackberrys y Nokias) por llevar incorporado de fabrica (y en algunos sin posibilidad de quitarlo) una versión modificada del software Carrier IQ.

Carrier IQ viene instalado como rootkit (es decir con todos los permisos) y esta completamente ocultado.

Esta versión modificada, según parece, realiza conexiones a internet en función de aplicaciones ejecutadas, SMS recibidos, llamadas recibidas, etc.

¿A que datos se acceden? (ejecutandose como rootkit, se puede acceder a cualquier cosa)
¿Que se hacen con dichos datos?
¿Se vende esta información a alguien?
¿Alguien tendrá lo que hay que tener para poner coto a esto? FCC, Union Europea

Esas son las preguntas principales. Los fabricantes deben aclarar y dar herramientas para eliminar este y otros tipos de software similares. A mi modo de ver, las implicaciones son gravísimas, no me vale el argumento de que lo que no quieres que se sepa no lo tengas en un móvil .. quiero saber quien anda con mis datos, que datos tiene, que uso le da y como puedo darme de baja de eso.

Esta noticia .. .¿tendrá consecuencias para dichos fabricantes?

Me temo que no, mucha gente compra sus Smartphones y poco se preocupan por la seguridad. Esperemos que esto vaya cambiando.

Referencias (de http://www.xda-developers.com):

The Rootkit Of All Evil – CIQ

More on Carrier IQ

Si a esto le sumamos por ejemplo esto:

Según McAfee el malware para Android subió un 76% en el segundo cuarto del 2011

Vale .. McAfee puede tener intereses propios en decir esto. Pero seguiré utilizando Android, pero solo para desarrollo. ¿Como usuario? ni de broma.

Actualización (2 diciembre 2011):

Según parece solo afecta a ciertos móviles de USA.

En los Android que se han analizado esto viene activado por defecto, y como se ha demostrado hasta tracea las pulsaciones de teclado.

En los iOS con versión 5. Viene desactivado por defecto. Y para que envíe la información de Diagnostico hay que activarlo por narices. La información que se tracea viene en un log y parece que es la siguiente: ID del dispositivo, latencia del DHCP, fecha. Por lo que me parece muy tendencioso el título.

Para revisar en iOS 5 si esto se esta enviando, mirar en:

Ajustes->General->Información->Diagnóstico y Uso. Comprobar que no esta marcada la opcion Enviar automaticamente

Para ver lo que se recolecta:
Ajustes->General->Información->Diagnóstico y Uso->Datos de diagnóstico y uso

Y si no queremos enviar nuestro posicionamiento a Apple una vez al dia, desactivar la siguiente opción
Ajustes->Localizacion->Servicios del sistema->Diagnostico y uso.

Donde de verdad huele es en las actitudes de los operadores y fabricantes de dispositivos Android.

Mas información en:

http://www.xataka.com/moviles/te-estan-espiando-algunos-fabricantes-de-android-y-operadoras-todo-sobre-carrier-iq

http://www.theverge.com/2011/11/30/2601695/carrier-iq-controversy

Actualización 2 (2 diciembre 2011)

Esto no para. Se encuentran agujeros de seguridad en instalaciones preinstaladas en ciertos dispositivos Android.

Researchers find big leaks in pre-installed Android apps
http://arstechnica.com/tech-policy/news/2011/11/researchers-find-big-leaks-in-pre-installed-android-apps.ars

La conclusión mas clara es … si quieres comprarte un Android, asegurate que no está «tocado» desde fabrica (por ejemplo un Nexus) y rootealo con un una ROM que sea confiable (Cyanogen por ejemplo).

Actualización 3 (2 Diciembre de 2011)

Apple dice que pararon de soportar Carrier IQ con iOS 5.

http://allthingsd.com/20111201/apple-we-stopped-supporting-carrieriq-with-ios-5

Apple dice en un comunicado a All Things Digital:

«Hemos dejado de dar soporte a Carrier IQ en iOS5 en la mayoría de nuestros productos y será eliminado en una futura actualización de software. Como cualquier dato de diagnóstico que se envía a Apple, los usuarios deben activarlo para compartir esta información, si lo hacen, los datos son enviados de forma encriptada y no incluyen ninguna información personal. Nunca hemos grabado lo que el usuario teclea, mensajes, o cualquier otra información personal para diagnosticar datos y no tenemos planes para hacerlo alguna vez».

¿En la mayoría de productos? ¿Cuales quedan fuera de la mayoría?

Por otro lado si Apple ha instalado el Carrier IQ en los iPhones, se supone que ha sido para utilizarlo. Aunque la información recabada parece ser un mero control de timeout de conexiones.

la burbuja de filtros en internet

Leo un estupendo artículo y video de Microsiervos, titulado ¿Se pasan Google y Facebook adaptando la información que nos muestran?

En el se explica que Internet cada vez está mas orientado a lo que suele buscar un usuario, muy personalizado, tanto que búsquedas con el mismo origen provocan distintos resultados, en función de quien eres.

Porque se hace esto? fundamentalmente porque las empresas que te muestran los resultados (Google, Facebook, …) te ponen mas arriba tus preferencias, ya que esto les reporta clics. El problema viene porque puede primar mas el interés de la empresa buscadora que tus propias necesidades y eso puede convertir a Internet en burbujas demasiado personalizadas.

Como dicen en el video «Internet nos muestra lo que él cree que nosotros queremos ver, pero no muestra necesariamente lo que necesitamos ver»

Video del TED

http://www.youtube.com/watch?v=wGq3HWILr6k

Noticia de Microsiervos:
http://www.microsiervos.com/archivo/internet/se-pasan-google-facebook-adaptando-nuestros-gustos-info-que-muestran.html

Los huerfanos de Android. Una triste historia de soporte.

Acabo de leer un articulo muy recomendable para todos aquellos que no conocen como es la experiencia de querer actualizar su sistema Android.

http://theunderstatement.com/post/11982112928/android-orphans-visualizing-a-sad-history-of-support

En resumidas cuentas, viene a explicar que la gran mayoría de smartphones Android no se pueden actualizar o que cuesta mucho que las operadores y fabricantes o hagan. Nada nuevo bajo el sol. A los fabricantes poco les interesa actualizar el software de sus smartphones, prefieren que los usuarios se compren un terminal nuevo (les da mas beneficio).

Tanto que Android es libre, no lo es .. está en libertad viligada, y al final nos topamos con operadoras con poca cintura para actualizarse o con los intereses de los fabricantes.

¿Mejorará esto algún día? Pues no lo creo. Desde que Android está en el mercado poco se ha hecho en que la situación mejore.

Adding ARC support to SVProgressHUD

SVProgressHUD is a very interesting class, created by Sam Vernette (see https://github.com/samvermette/SVProgressHUD) to show a wait indicator with optional text in an iOS device.

Now that we are with XCode 4.2, I try to use ARC (Automatic Reference Counting) as much as possible and SVProgressHUD doesn’t give support for it.

I made some adaptations for that it works properly with ARC. Here it is the PasteBin

http://pastebin.com/R85SGW21

Enjoy!

Muere Dennis Ritchie

Vaya mesecito!

Esto parece un blog de necrológicas mas que un blog tecnológico. Bueno . pues murio Dennis Ritchie, uno de los inventores del lenguaje C, cuyo libro el «Kernighan y Ritchie» sobre lenguaje C ha sido durante muchos años la referncia o «biblia» de muchos programadores, entre los cuales me incluyo. Descanse en paz.

Leido en Microsiervos.

Adiós, Dennis Ritchie

Se acabaron las necrológicas, no puedo seguir con eso.

Muere Steve Jobs – Steve Jobs passed away

Steve Jobs, 1955 – 2011

From Apple website:

We are deeply saddened to announce that Steve Jobs passed away today.

Steve’s brilliance, passion and energy were the source of countless innovations that enrich and improve all of our lives. The world is immeasurably better because of Steve.

His greatest love was for his wife, Laurene, and his family. Our hearts go out to them and to all who were touched by his extraordinary gifts.

Descanse en paz, genio

¿Google+ sin gmail ni telefono? Mejor que no lo intentes

O que tengas tiempo y paciencia …

El nuevo servicio en pruebas de Google+, que tiene una pinta estupenda, viene una integración excelente con nuestras cuentas de Gmail (contactos, fotos, …). Pero ¿Que pasa si queremos utilizar otro cliente de correo y al mismo tiempo no queremos dar nuestro telefono a Google?

Pues la cosa se complica y bien, el proceso es bastante tedioso. Vamos por partes

Creando la cuenta de Google

Nos pide:

– una password de 8 caracteres
– captcha
– te envian un mail para confirmar la creacion de la cuenta de Google
– damos clic a la URL del email para verificar la cuenta

Hasta aqui, todo bien. Ya tenemos una cuenta de Google creada y funcional.

Aceptando la invitación de Google+

Primera sorpresa, al querer unirse a Google+, te pide verificar tu cuenta con una de estas dos opciones:

– mensaje de texto
– llamada de voz

Si uno no quiere ninguna de las dos .. se tiene la opción de «si tienes dificultades para verificar tu cuenta, ponte en contacto con el servicio de asistencia para obtener más ayuda.» lo que nos lleva a una pagina de FAQs que dice «Account has been disabled» eh? ¿como que disabled? y todo el resto en inglés. Para los que no entiendan inglés .. ya lo llevan jodido.

Y .. ¿donde esta ese servicio de asistencia? No aparece por ningún lado. Ah! mea culpa, veo un enlace de Contact with us (debe ser eso) .. y sale un formulario para enviarles un correo, se lo mando en español y en ingles (por si ellos no entienden el español)

Bien, no quiero darles mi número de movil, no vaya a ser que alguien me llenen de SMS con spam comerciales, por lo que descarto la primera opción.

Continuo y elijo la llamada de voz, pongo pais y mi numero de fijo, doy continuar y me dice en una ventana que en un rato recibire un mensaje con el codigo de validacion y que lo ponga en un campo de texto, espero un rato .. aqui no llama ni cribas, le doy para atras y al rato me llama una maquina dandome el codigo de verificacion, no tengo otra opción que dar continuar de nuevo (sale la ventana de antes), aqui voy de listo y pongo el codigo de verificación de la llamada que me acaban de hacer. beep!! incorrecto, al momento me llaman y me dan otro codigo de verificacion, pongo el nuevo código de verificaciñon y me sale lo siguiente:

500 .. that’s an error. Se produjo un error. Inténtalo de nuevo más tarde. That’s all we know.

Diablos! despues de todo el rollo, un error del servidor … pasan unos minutos y vuelvo a entrar en la invitacion .. bien .. ahora ya me deja .. cubro un perfil publico y ya estoy en Google+

Todo el proceso ha llevado como cosa de 40 minutos!! Y me ha jodido la siesta .. grrr Google

Conclusion

Si que puedes usar Google+ con otra cuenta de mail distinta a Gmail, pero necesitas tener un telefono (movil o fijo). No tendrás todas las ventajas de integracion como contactos, etc…

Un colega me dice que eso está muy bien para evitar anonimos y spammers … joer, es el primer servicio que utilizo en internet que me pide un número de telefono (y aun por encima captcha, validacion de URL en email), creo que esta vez Google se ha pasado tres pueblos.

Google debe mejorar el servicio de atención, las páginas de ayuda y poner mas interés en facilitar las cosas al usuario

Ah .. hora y media despues recibo un mail estandard del Google Team, en puro lenguaje de Shakespeare, con una respuesta que no tiene nada que ver con la pregunta (¿como puedo unirme a Google+ sin gmail y sin tener un telefono?)

Lo mas curioso es que dice (sic) «When you create a Google Account, we don’t ask you for a lot of
information» .. puede ser que no .. pero la de vueltas que nos hacen dar … es para alucinar.

Google, google ..

Yo #soy15m

Como parte del #15m me declaro una persona pacífica y condeno radicalmente todo tipo de violencia: la de los violentos infiltrados en nuestras manifestaciones, y la del Estado, que ha causado más dolor y heridos. Además, condeno la manipulación mediática que enfatiza la información sesgada, parcial o errónea con el propósito de demonizar a los ciudadanos.

Si me manifiesto en la calle es porque:

1. Mi participación como ciudadano se ha reducido a votar a listas cerradas cada cuatro años para ver cómo los representantes de los ciudadanos no respetan lo prometido en su programa.
2. Se hacen leyes a favor de grupos de interés en vez de hacerlas a favor del conjunto de la sociedad.
3. Se invierten recursos públicos para ayudar a minorías poderosas, y no a quienes están pasando situaciones desesperadas ocasionadas por la especulación financiera.
4. Los grandes partidos están más preocupados por mantener su poder que por ofrecer soluciones para superar esta crisis histórica.
5. Está a punto de firmarse un “Pacto del Euro” que consiste fundamentalmente en medidas para reducir la inversión pública en servicios esenciales.
6. Desde diferentes órganos del estado se ha insultado a los ciudadanos, e incluso se ha justificado el recurso a la violencia contra manifestantes pacíficos.

Como parte del #15m, acepto y respeto la diversidad ideológica del movimiento. Cuando participo en una manifestación no reclamo un régimen o una ideología en concreto, ni un modelo social no democrático, ni la eliminación de los partidos o los parlamentos. Lo que reclamo es una democracia mejor y más humana que, entre otras medidas, necesita urgentemente:

1. Cambios en la Ley Electoral para permitir una mejor y más directa representación de los ciudadanos en los parlamentos y una mayor participación ciudadana en las decisiones importantes.
2. Aprobación de una Ley de Transparencia y Acceso a la Información Pública para obligar a la publicación en formatos adecuados y reutilizables de todos los gastos, decisiones y reuniones con grupos de presión por parte de funcionarios y cargos públicos.
3. Tolerancia cero a la corrupción de candidatos y cargos públicos, y controles ciudadanos para la exigencia de responsabilidad política.
4. Separación clara, real y efectiva de los poderes del estado.
5. Control fiscal efectivo de grandes fortunas y operaciones financieras; eliminación de privilegios fiscales a cargos electos.
6. Políticas encaminadas a solucionar de forma efectiva los problemas hipotecarios y de vivienda.
7. Servicios públicos de calidad, fundamentalmente salud, justicia y educación.
8. Eliminación de las leyes que permiten el control administrativo de Internet. La red ha demostrado ser esencial para la libertad de expresión y para responder al peligro de manipulación mediática.

Por todas estas razones volveré a salir pacíficamente a la calle el 19 de junio, #19j.

Si estás de acuerdo, aprópiate del texto y divúlgalo (enlace al documento original)

Manifiesto por una Red Neutral

(Si te sientes cómodo y representado por este texto, dale toda la difusión que puedas y quieras: reprodúcelo, enlázalo, tradúcelo, compártelo, vótalo… todas esas cosas que puedes hacer con total tranquilidad y libertad gracias, precisamente, al hecho de que tenemos todavía una red neutral. Hagamos posible el seguir teniéndola)

Los ciudadanos y las empresas usuarias de Internet adheridas a este texto MANIFESTAMOS:

1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
   Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
8. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
9. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
10. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.

 

La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.

Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.

Troyano en el Android ¿No pasa nada?

Troyano en el Android ¿No pasa nada?

Ayer mismo se está empezando a difundir que ya existe un troyano para el sistema operativo Android, desde alguna webs afines a Android (o fandroids como dirian algunos) se estan lanzando mensajes de que no hay que preocuparse, no hay virus en el Android Entonces en que queda todo ¿pasa algo o no pasa nada?

En realidad si que pasa algo, algo muy serio y problematico. Voy a poner un ejemplo:

– Contrato varias lineas de telefono y numeros SMS premium
– desarrollo una aplicación con un rootkit y un troyano dentro
– el rootkit revienta la seguridad del telefono
– el troyano realiza llamadas a mis numeros premium y SMS

Conclusion: conseguiremos moviles zombies que generaran dinero. Está en juego muchisimo dinero, dada la gran cantidad de moviles en circulación estamos hablando de muchos millones de euros/dolares. Con una tajada tan importante no faltaran desaprensivos que lo intenten (y lo lo consigan). No es lo mismo un virus en un ordenador que te abre popups, banners a que tu teléfono empiece a hacer llamadas o enviar SMS.

Sobre Android

El rootkit ya se ha conseguido hacer segun dicen «The implications of this are huge; an attacker can proceed to read all SMS messages on the device/incur the owner with long-distance costs, even potentially pin-point the mobile device’s exact GPS location. Such a rootkit could be delivered over-the-air or installed alongside a rogue app», para realizar este rootkit solo se tardaron dos semanas.

El rootkit consigue que se salten por los aires (y se oculten) todas las advertencias de seguridad que dispone Android, y el usuario no se entera que está pasando, no hay mucha posibilidad de aplicar la precaución. El troyano también se ha hecho

Ahora solo hace falta juntar ambos dentro de una aplicación supuestamente inocente y tendremos un importantisimo problema. Los forofos de Android que sigan diciendo que un troyano o malware no es un virus, que no pasa nada que no nos romperá el telefono o estropeará el sistema operativo, pero prefiero eso a que me fusilen mi cuenta corriente con facturas de cientos de euros. Explicarle esto a alguien que no sea muy informático que le dará igual virus troyano o malware le sonara todo a chino.

Google se desentiende del asunto diciendo que Los virus de Android no son cosa de Google.

«Entonces me quedo tranquilo porque en Android no hay virus como dicen esas webs de fans de Android». Pues pienso que es mas problemático que me limpien la cuenta corriente con cargos de cientos de Euros con un troyano a que con un virus me estropeen el sistema operativo del teléfono. Asi que no, de momento no hay virus pero es mucho peor.

iPhonero, no te rias

Si hay algún lector que sea forofo incondicional de Apple, que no se ria ni frote las manos por ver al «enemigo» con serios problemas de seguridad, en el iPhone ya existe un rootkit llamado jailbreak, también hay virus Detectado un Virus en Cydia y troyanos (Aparece el primer troyano para el iPhone, y ¿sólo dice «zapatos»?). Solo falta que algún malintencionado junte las piezas.

En Symbian, BlackBerry y Windows Mobile pues pasa lo mismo, nadie está libre de problemas. De todos, la plataforma que se demuestra menos problematico es iPhone, ya que aplicar el JailBreak es una acción deliberada y siendo (mas o menos) consciente de lo que se hace. Sin Jailbreak, no hay rootkit y por tanto no hay acceso de administrador al dispositivo. Mucho se ha criticado el modelo cerrado de la AppStore, pero al final se está demostrando actualmente como el mas seguro.

Se comenta que las empresas de antivirus estan interesadas en crear virus para vender sus productos, pero no tengo ese dato confirmado por tanto lo dejamos solo como rumor.

Bueno .. pero si descargamos las aplicaciones de la AppStore o del Android Market como eso está controlado .. pues no pasará nada .. ¿cierto?

Pues malas noticias, es falso. Si que puede pasar, aunque es mas dificil, tanto Google como Apple comprueban los programas antes de publicarlos en sus tiendas. Apple es mucho mas rigurosa, exhaustiva, pijotera o como le querais decir que Google. Pero se puede ocultar el código para que tanto Apple como Google no se enteren de lo que puede pasar (aqui no quiero dar ni una sola pista mas).

¿Que hago? ¿Tiro el Smartphone y me vuelvo a un movil-ladrillo de los de antes?

No hombre no, tampoco es para obsesionarse por el asunto, pero no está de mas tomar precauciones e instalar las aplicaciones solo de fuentes seguras.

Me imagino una posible conversación con la empresa operadora de telefonía …

“Oiga mire, tengo unos cargos indebidos de SMS, la factura asciende a cascarascientos de euros y la culpa ha sido de un troyano …”

“Un troque?” me contesta la amable operadora

“Un troyano, yo no envie los SMS!”

“Repita por favor. Como?”

“Leñe, que fue un malware que me infectó el telefono”

“Oiga, no me insulte, pulse 1 si no esta contento, 2 si lo esta”

Pi pi pi pi …