Ativismo digital: Malware spammer revolucionário para Android
Pesquisadores batizaram de Android.Arspam um malware para Android que envia torpedos SMS com assuntos políticos para todos os contatos da vítima.
Distribuído especialmente entre usuários do Oriente Médio, ele se disfarça de um aplicativo chamado Al Salah, popular por lá e que realiza a função de uma bússola. Segundo a Symantec, o aplicativo é popular nos países islâmicos.
As mensagens enviadas contém links para uma mensagem que homenageia o vendedor Mohamed Bouazizi , considerado um dos iniciadores da revolução na Tunísia e também do conjunto de protestos da “Primavera Árabe”.
via g1.globo.com
Ora, um aplicativo islâmico enviando mensagens que defendem valores islâmicos fundamentalistas!!
Nossa, que malware enorme!
o autor deveria acrescentar os SMS à sha lista de features! ia vender mais.
Aliás, porque uma bussola pediria permissão pra enviar SMS? Vc, leitor, baixaria uma bússola que precisa de permissão pra enviar SMS?
Sem +
“A culpa é do usuário”
Como sempre “a culpa é do usuário”, como dizem os apologistas do Google.
Isso é somente mais uma demonstração como o sistema de permissões do Android é furado e não server para que o usuário tome uma decisão informada sobre o programa.
Sem falar no já batido tópico da incompetência do Google Market em garantir a qualidade e segurança dos seus programas.
Ridículo, srs, ridículo.
Neste exemplo específico eu tenho a impressão de que a competência ou incompetência do Google Market para manter malwares fora do seu acervo oferecido aos usuários de aparelhos com Android não foi demonstrada, Spif.
Fora isso, acredito que um modelo de segurança que se baseia na expectativa de que o usuário final leia, compreenda e decida cautelosamente sobre mensagens exibidas entre o momento em que ele comandou a instalação de um aplicativo e o início do uso deste aplicativo chegará a resultados que são responsabilidade também de quem definou o modelo, e não só de cada usuário que se comporta da sua forma usual com mensagens exibidas durante procedimentos de instalação.
O último parágrafo da sua resposta foi bastante interessante, @Augusto. Pode desenvolver o tema?
Ou seja: na sua opinião, qual seria a maneira de evitar que um usuário execute um aplicativo ao qual ele concedeu erroneamente uma permissão para o aplicativo, isso sem restringir as liberdades tanto do desenvolvedor quanto do usuário? Há uma solução viável para a questão?
Espero ter sido claro quanto à minha opinião, Porfírio. No que tange a soluções viáveis, compartilho a sua expectativa de que alguma surja. Enquanto não surgir, os usuários estarão sujeitos à situação atual.
Eu achei que havia uma solução para o problema no seu comentário, @Augusto, e que eu não a tinha entendido. Por isso que eu pedi para vc. desenvolver.
Perdoe-me por ter entendido errado.
Também compartilho a sua expectativa de que apareça uma solução melhor do que a atual. Até lá, prefiro não acusar um fornecedor por não me oferecer um modelo de segurança que eu nem ao menos sei direito qual seria.
Eu pensei que tinha identificado uma solução em seu comentário, @Augusto, e que eu não tinha sido capaz de entendê-la direito. Por isso pedi pra você desenvolver melhor.
Perdoe-me por não ter entendido que não era o caso.
Compartilho sua expectativa de que uma solução melhor apareça. Enquanto isso, prefiro não acusar um fornecedor por não me oferecer um modelo de segurança que eu nem mesmo sei direito qual seria.
perdão pelo post duplicado. Solicito moderação.
Eu não tinha qualquer dúvida de que você prefere não acusar o fornecedor por hoje entregar um sistema sem a solução de segurança melhor do que a atual pela qual você tem expectativa, Porfírio.
Qual o método que vc. usa pra criar essas maravilhosas “bot answers?” :)))
Mas prestando muita atenção na sua resposta, perdoe-me por insistir, mas acho que houve dúvida sim, por que a sentença está correta mas não foi o que eu quis dizer. Se me expressei mal, vou reconstruir:
“Na minha incapacidade de imaginar as características de um esquema de segurança que eu possa considerar melhor, prefiro não acusar o fornecedor por não executá-lo”.
Assim fica melhor?
Fica aqui também o meu pedido aos outros leitores: se alguém conseguir imaginar uma metodologia de segurança que seja melhor do que a atual, por favor compartilhe seu pensamento. Assim poderemos ser construtivos ao invés de destrutivos.
Está perdoado. Fico feliz por a sentença estar correta.
@Roberto, a culpa não é do usuário. Vc. está confundindo responsabilidade com culpa.
Não por isso: O Dr. Hao Chen (http://www.cs.ucdavis.edu/~hchen/) durante o SBSeg 2011 (http://www.ppgee.unb.br/sbseg2011/index.html?v=17) apresentou um estudo em que ele, sem permissões especiais do Google, baixou programa do market e realizou avaliação de código dos aplicativos, automaticamente. Utilizando este método, ele foi capaz de identificar malwares e leaks (mal-uso combinado de permissões).
Isso poderia ser o método pra resolver esse problema dos programas que pedem permissões demais, e dos Malwares adicionados ao market em geral.
@Roberto, o que o Porfírio quiz dizer foi que o usuário tem a responsabilidade de ter um background em informática para poder utilizar um smartphone.
Obrigado pelos links, @Spif. Já é alguma coisa que podemos estudar e, caso faça sentido, pleitear.
(O @Spif, sendo construtivo???? Oh meu Deus… Será que o mundo acaba em 2012??? :-P)
Ops, falei cedo demais. Não, @Roberto. O que eu quis dizer é que o usuário precisa ter um background de bom senso.
Ele precisa saber o que significam os termos “aplicativo de bússola” e “SMS” e chegar à brilhante conclusão de que uma bússola não manda (ou não devia mandar) mensagens SMS.
@spif
Se voce reclama tanto da google ,que então proponha um aplicativo de certificação digital oras.
Agora ficar reclamando para defender o concorrente ,sinto muito.
@Porfirio, vc vai gostar de ver que na maioria das discussões sobre Malware eu cito o trabalho do Dr. Hao Chen. Eu não prego o fim do Android, mas o fim do Android como ele é: Amarrado, desatualizado e frágil. Ele tem que melhorar muito.
Pessoas que fazem uma apologia extrema, como você, que não notam isso.
@lapis, 2 coisas:
1- Eu reclamo baseado em fatos. Não tento esconder coisas, ou fazer vista grossa.
2- Se eles quisessem fazer algo de certificação digital para os seus aplicativos (e não estou certo de que isso resolveria o problema), eles poderiam muito bem fazer usando frameworks disponíveis no mercado, não algo que eu poderia tentar construir.
Ainda nesse assunto, a ausência de uma proposta minha não altera o fato de tanto o Market quanto o sistema de permissões do Android serem particularmente insuficientes para o cenário das ameaças atuais.
@lapis, certificação digital já existe nesse contexto. Vc. não consegue publicar nada no market sem uma assinatura digital. A diferença é que vc. usa certificados auto-assinados, ao invés de usar uma autoridade certificadora. A partir do momento em que vc. registrou sua app com o seu certificado, a app e o certificado ficam associados à sua conta.
Resultado? Não repúdio. Ou seja, vc. não tem como alegar que uma app que quebra copyright ou causa danos a terceiros não seja sua. Consequências? Sua conta banida do market.
Mas isso não resolve nada até que hajam provas contra você.
@Spif, “amarrado” é um adjetivo que vc. deveria usar com outros sistemas, não com o Android. Aqueles que não gostam desse sistema dizem que ele é “aberto demais”.
“frágil” é um adjetivo que vc. deveria usar com o WindowsPhone. Esse sistema reinicia sozinho, remotamente, só ao receber uma certa mensagem SMS. Se é que reiniciar é só o que ele faz…
“desatualizado” não é um adjetivo que vc. possa usar em relação ao sistema, que atualmente é o mais avançado que existe em seu nicho. O adjetivo pode ser usado ao se referir a algum aparelho. Aliás, já mencionei que o meu Tablet ASUS recebeu uma atualização de melhoria no dia 25?
Resta saber se o trabalho do Hao (do qual eu não vi detalhes nem evidências públicas) pode ser aplicado em larga escala. Se o processo for realmente bom, ele já poderia estar lucrando com ele.
Certificados auto-assinados são muitos bons mesmo.Usar uma empresa certificadora só e bom se voce tiver o controle disso.
Agora certificação forçada pelo fabricante é o que a Microsoft prega com seus “Secure” boot.
Não seria mais fácil dizer que o/a Google é responsável pelo conteúdo do Android Market, independentemente do usuário (geralmente) ser um completo inepto?
Talvez fosse mais fácil, e certamente é mais curto, mas a tua versão não exprime tudo o que eu quis dizer.
E, mesmo nos casos em que o Malware é oferecido via Android Market, nem sei se o Google se responsabiliza – pelo que li acima, há até quem defenda que o responsável pelos efeitos do modelo de segurança oferecido é a vítima.
Augusto e Bremm, eu acho que o CDC apontaram o Google como culpado, no caso de perdas e danos causados por Malware vendido no Market.
Discordo em relação ao usuário Android típico ser inepto, @Breem. Na enorme maioria das vezes ele não é.
Eu verifiquei que o usuário médio (ao menos os brasileiros, os únicos aos quais eu tenho acesso) são conscientes, lêem as descrições, condições e termos do aplicativo antes de baixar e clicam para entender as permissões dos aplicativos. Acabei de fazer esse teste com uma menina aqui do trabalho e o presente de natal dela.
O que ainda não fica tão claro para o usuário leigo é o efeito da combinação de permissões. Não que isso esteja fora do alcance de ninguém que se proponha a ter um celular inteligente, apenas não é óbvio.
A Google tem que garantir que todo conteúdo no market dela seja livre de vírus (não malware: a definição de malware é mais ampla e eles são mais difíceis de identificar) e isso é fácil de fazer.
A Google tem que garantir que um aplicativo de bússola não envie SMS? Nem tanto. SMS é uma funcionalidade válida. Se o programa os envia e o usuário aceita, não creio q o mercado deveria poder se meter. Ao menos até que alguém reclame e a má fé seja comprovada. Caso contrário ocorreria constantemente a possibilidade de banir aplicativos e autores inocentes (coisa que, mesmo com o processo permissivo atual, já acontece de vez em quando).
Finalmente, outro assunto interessante a discutir é: quem levanta a bandeira dos malwares infinitos no Android, que tenta passar ou repassar a ideia de uma crise de vírus no Android Market está realmente interessado na melhoria do sistema e na proteção dos usuários?
Ou será que têm outros objetivos (fazer comparações favorecendo outra(s) plataforma(s) de sua preferência, tentar prejudicar a empresa responsável, criar um ambiente propício a venda de certos produtos de segurança, etc)?
A resposta, por vezes, não é tão simples quanto parece.
Quando um Fanboy fala:
“A Google tem que garantir que todo conteúdo no market dela seja livre de vírus (não malware: a definição de malware é mais ampla e eles são mais difíceis de identificar) e isso é fácil de fazer.”
Eu imagino se ele fosse fã do seu manoel da vendinha:
“O Seu Manoel tem que garantir que todas as garrafas estejam inteiras (não que nenhum rato tenha urinado em cima delas, pois isso é mais difícil de identificar) e isso é fácil de fazer.”
“O Seu Manoel tem que garantir que todos os ovos estejam dentro das caixas (não que estejam podres, pois é mais difícil de identificar) e isso é fácil de fazer.”
A chave para uma boa App Store, pro Android é simples:
1- Identificar possíveis casos de vazamentos (leaks) de permissõesnalisando o código automaticamente, e botar uma trava nos suspeitos.
2- Fazer live analisys desses pacotes para refinar.
3- Restringir a forma de se entrar no Market. Afinal, agora eles já inflaram os números o suficiente.
A única coisa divertida é ver como a paranoia rói esse pessoal por dentro: Todo mundo está querendo acabar com a plataforma. Se você publica uma matéria desfavorável é um “inimigo da causa”. Se você aponta as falhas comuns, com um comentário, você está à soldo de alguma empresa.
No final, esses fanboys acabam afundando a marca, por que não percebem as limitações e agem pra corrigir. Quando muito agem pra encobrir.
Ok entao, vou atravessar a rua sem o devido cuidado e vou aplaudir o motorista desvairado dando risada no telefone que quase me atropelou, pq nao eh culpa dele nem minha eh culpa do governo que nao coloca colares eletricos para nos repreender… Aiai ninguem quer ser responsavel nem por si mesmo.
Não vou me ater às provocações puras e sem lógica, me concentrando só no que for construtivo nas sugestões do @Spif:
1 – Um aplicativo suspeito de leak, apenas por ser suspeito, perde o direito de ser distribuído até que alguém tenha tempo de avaliar o caso. O usuário perde o direito de avaliar o aplicativo por si mesmo. Seus concorrentes, que pagaram a mesma coisa que ele por seus espaços no mercado, passam a frente dele. Ele pode jamais se recuperar e tudo isso porque ele quis gerar mais valor e para isso precisou pedir mais permissões a seus clientes. Não é um mercado que eu, como desenvolvedor, usaria. E um mercado sem ter o que vender também não tem consumidores.
2 – Live Analisys é uma ferramenta legal. Mas também está sujeita a falsos positivos. Se for usada para premiar os apps bem comportados, ok. Como ferramenta para descartar apps, não é confiável o suficiente.
3- Restringir a forma de entrar no market é matar o que ele tem de bom e transformá-lo na ferramenta fascista do concorrente.
Se liberdade ao oferecer produtos e avaliação do conteúdo do mercado de forma colaborativa e auto-regulatória te incomodam, sugiro que vc pleiteie o fechamento de outro mercado web bem mais antigo, já estabelecido e considerado confiável por milhares de brasileiros. O nome?
Mecado Livre.
Mas @Spif, peço que continue a se expressar (provocação não vai funcionar, só desperdiçar seu tempo), quem sabe não chegamos em algum lugar?