El gestor de paquetes Cydia es el programa que triunfa entre los usuarios que deciden «liberar» su iPhone o derivados. Desde hace algún tiempo, los métodos para hacer jailbreak al dispositivo instalan por defecto esta aplicación, y gracias a ella se descargan los paquetes adicionales.

El software se instala desde repositorios (Cydia es un gestor de paquetes), y los que vienen por defecto son supuestamente los más fiables. Podríamos diferenciar entre los repositorios privados, donde solo los administradores suben su software, y los públicos donde cualquier usuario puede proponer una aplicación.

Hace poco tuve contacto con uno de estos repositorios ‘by default’ públicos, y me quedé bastante asombrado por el poquísimo control que se tenía sobre los paquetes que enviaban los usuarios.

cydia sources

La historia es la siguiente: Subí un paquete (.tar, lo recomiendan) de una aplicación que debía ser usada mediante terminal, es decir, no era una aplicación gráfica, por lo que el paquete que ellos generaran debía extraer el ejecutable en un directorio incluido por defecto en el $PATH (/usr/bin por ejemplo). Tardaron solo unas horas en aceptarlo y subir al repositorio el .deb generado por ellos.

De momento todo iba bien, pero cuando descargué el paquete desde Cydia me llevé la sorpresa de que el ejecutable se extraía en la carpeta para las aplicaciones gráficas, y no donde les había especificado. Esto quiere decir que obviaron mis indicaciones, y lo más importante, que probablemente no ejecutaran ni probaran la aplicación en ningún momento. Costó hacer que todo estuviera en su sitio, pero al final se consiguió gracias a algún email y una resubida. Estos emails reafirmaron la teoría de que las aplicaciones no son probadas (al menos la mayoría).

Entonces pensé lo absurdamente fácil que resultaría subir un paquete malicioso y que no saltaran las alarmas hasta que se empezaran a producir infecciones (en caso de virus) o hasta que alguien encontrara un comportamiento extraño en nuestra aplicación.

Si analizamos la situación lo veremos más claro:

Un usuario nuevo, sin referencias, votaciones o algún tipo de puntuación de ‘karma’ puede subir aplicaciones. Estas aplicaciones probablemente no son probadas, y mucho menos va a ser analizado su comportamiento. Por supuesto no hay que mandar el código fuente de la aplicación (aunque dudo que lo revisaran), y las probabilidades de que analicen la aplicación mediante reversing son practicamente inexistentes.

Con todo esto hay que añadir que la aplicación no era gráfica, por lo que solo está disponible para los que tengan el filtro de Cydia en ‘Hackers’ o ‘Developers’ (esto no impidió que se produjeran bastantes descargas). Una aplicación gráfica, y con alguna función interesante (una jarra de cerveza, una granja, etc …) habría sido mucho más atractiva y habría llegado a mucha más gente.

Ya se sabe que los repositorios de Cydia no son como la AppStore y que el control aquí es mucho menor, pero no pensaba que fuera tan bajo, o mejor dicho, inexistente en este caso.

Aun así, creo que es importante diferenciar entre repositorios, aunque al final todo se basará en el instinto y la preocupación de cada uno.

Via: Security By Default

Por admin

Deja una respuesta

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
100% Free SEO Tools - Tool Kits PRO