Esquema de cómo se produce el ataque a través de las aplicaciones HTML5. Fuente: Universidad de Siracusa.
El escaneo de códigos de barras 2D, la búsqueda de puntos de acceso Wi -Fi gratis, el envío de mensajes SMS, escuchar música y ver videos MP4 son actividades muy comunes realizadas con smartphones.
Sin embargo, pueden producir infecciones de gusanos que roban información personal, y se contagian a los smartphones de amigos y conocidos.
Lo que hace estos ataques factibles es una tecnología emergente para el desarrollo de aplicaciones llamada HTML5, que ha ido ganando popularidad rápidamente en la industria de la telefonía móvil.
Cuando la adopción de esta tecnología alcance cierto umbral, los ataques se convertirán en algo muy común, a menos que hagamos algo para detenerlo, advierte un grupo de investigadores de la Universidad de Siracusa, en Nueva York (EE. UU.). Un informe reciente de Gartner dice que en 2016 el cincuenta por ciento de las aplicaciones móviles utilizará tecnologías basadas en HTML5.
Todos los principales sistemas móviles se verán afectados, señala la nota de prensa de la universidad, incluyendo Android, iOS, Blackberry y Windows Phone, ya que todos ellos soportan aplicaciones móviles basadas en HTML5.
Un problema notorio de la tecnología basada en HTML5 es que el código malicioso puede ser fácilmente inyectado y ejecutado en el programa. Es un ataque del tipo Cross-Site Scripting (XSS), que sigue siendo uno de los más comunes en la Web.
Las XSS son un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones web, que permite a un tercero inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar, evitando medidas de control como la Política del mismo origen.
Sin embargo, pueden producir infecciones de gusanos que roban información personal, y se contagian a los smartphones de amigos y conocidos.
Lo que hace estos ataques factibles es una tecnología emergente para el desarrollo de aplicaciones llamada HTML5, que ha ido ganando popularidad rápidamente en la industria de la telefonía móvil.
Cuando la adopción de esta tecnología alcance cierto umbral, los ataques se convertirán en algo muy común, a menos que hagamos algo para detenerlo, advierte un grupo de investigadores de la Universidad de Siracusa, en Nueva York (EE. UU.). Un informe reciente de Gartner dice que en 2016 el cincuenta por ciento de las aplicaciones móviles utilizará tecnologías basadas en HTML5.
Todos los principales sistemas móviles se verán afectados, señala la nota de prensa de la universidad, incluyendo Android, iOS, Blackberry y Windows Phone, ya que todos ellos soportan aplicaciones móviles basadas en HTML5.
Un problema notorio de la tecnología basada en HTML5 es que el código malicioso puede ser fácilmente inyectado y ejecutado en el programa. Es un ataque del tipo Cross-Site Scripting (XSS), que sigue siendo uno de los más comunes en la Web.
Las XSS son un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones web, que permite a un tercero inyectar en páginas web vistas por el usuario código JavaScript o en otro lenguaje script similar, evitando medidas de control como la Política del mismo origen.
Tasas de infección
Mientras, investigadores de la Universidad de Helsinki (Finlandia) han medido las tasas de infección por malware de smartphones con sistema operativo Android, que es del 0,25%, significativamente mayor que lo estimado hasta ahora.
También han desarrollado una técnica para identificar los dispositivos infectados con malware previamente desconocido.
Hasta ahora las pocas estimaciones que había variaban mucho: desde más del 4 por ciento en dispositivos Android, según una estimación realizada por una compañía anti-virus (que suelen ser más altas), a menos del 0,0009 por ciento de todos los smartphones de EE.UU. (de cualquier sistema operativo), según otra estimación realizada por un grupo de investigadores académicos de los EE.UU.
El proyecto de la Universidad de Helsinki, del que informa AlphaGalileo y se hace eco MIT Technology Review, recoge datos anónimos de más de 50.000 dispositivos durante un período de siete meses .
Los investigadores también han desarrollado un método de detección de malware basado en que los usuarios que tengan aplicaciones maliciosas en común también pueden tener en común otras benignas, que hayan adquirido en los mismos lugares. A partir de ahí, se pueden encontrar patrones de infección que aceleran el proceso de identificación de dispositivos infectados hasta cinco veces más rápido que eligiéndolos de manera aleatoria.
Los científicos están investigando ahora si se pueden identificar dispositivos vulnerables, incluso antes de que están infectados.
Mientras, investigadores de la Universidad de Helsinki (Finlandia) han medido las tasas de infección por malware de smartphones con sistema operativo Android, que es del 0,25%, significativamente mayor que lo estimado hasta ahora.
También han desarrollado una técnica para identificar los dispositivos infectados con malware previamente desconocido.
Hasta ahora las pocas estimaciones que había variaban mucho: desde más del 4 por ciento en dispositivos Android, según una estimación realizada por una compañía anti-virus (que suelen ser más altas), a menos del 0,0009 por ciento de todos los smartphones de EE.UU. (de cualquier sistema operativo), según otra estimación realizada por un grupo de investigadores académicos de los EE.UU.
El proyecto de la Universidad de Helsinki, del que informa AlphaGalileo y se hace eco MIT Technology Review, recoge datos anónimos de más de 50.000 dispositivos durante un período de siete meses .
Los investigadores también han desarrollado un método de detección de malware basado en que los usuarios que tengan aplicaciones maliciosas en común también pueden tener en común otras benignas, que hayan adquirido en los mismos lugares. A partir de ahí, se pueden encontrar patrones de infección que aceleran el proceso de identificación de dispositivos infectados hasta cinco veces más rápido que eligiéndolos de manera aleatoria.
Los científicos están investigando ahora si se pueden identificar dispositivos vulnerables, incluso antes de que están infectados.
Referencias bibliográficas:
Xing Jin, Tongbo Luo, Derek G. Tsui y Wenliang Du: XDS: Cross-Device Scripting Attacks on Smartphones
through HTML5-based Apps.
Hien Thi Thu Truong, Eemil Lagerspetz, Petteri Nurmi, Adam J. Oliner, Sasu Tarkoma, N. Asokan, Sourav Bhattacharya: The Company You Keep: Mobile Malware Infection Rates and Inexpensive Risk Indicators. arXiv:1312.3245.
Xing Jin, Tongbo Luo, Derek G. Tsui y Wenliang Du: XDS: Cross-Device Scripting Attacks on Smartphones
through HTML5-based Apps.
Hien Thi Thu Truong, Eemil Lagerspetz, Petteri Nurmi, Adam J. Oliner, Sasu Tarkoma, N. Asokan, Sourav Bhattacharya: The Company You Keep: Mobile Malware Infection Rates and Inexpensive Risk Indicators. arXiv:1312.3245.