Sin embargo, los hackers son ingeniosos a más no poder, y ya han desarrollado una *prueba de concepto del tapjackin*g, un concepto muy similar al clickjacking, y que permitiría saltarse estos permisos. La técnica consiste en lo que podéis ver en el vídeo. Tenemos una aplicación de aparencia inocente, pero que en realidad es “transparente”. Así, cuando pulsamos en algún botón de la aplicación, en realidad lo que estamos haciendo es pulsar en los botones de otra aplicación que no vemos y que está en segundo plano.
La explicación más técnica es que la interfaz que vemos no es una interfaz de aplicación normal, sino una notificación Toast personalizada para que ocupe toda la pantalla. Lo característico de estas notificaciones es que pasan los toques sobre ellas a la aplicación que haya por debajo. De este modo sólo hay que mantener la notificación permamente visible para que el usuario no sepa dónde está tocando.
Así, una aplicación especialmente preparada podría bajar un malware, tratar de instalarlo y, mientras que el usuario cree que está jugando a un inocente juego de botones, en realidad está aceptando los permisos de esa aplicación.
El problema es grave. Con este concepto tan simple los atacantes podrían saltarse una de las mejores (y prácticamente única) protecciones contra el malware en Android. Como usuarios tenemos dos opciones: instalar únicamente aplicaciones de confianza, o bien instalarnos un antivirus en nuestro móvil (o las dos, que todas las precauciones son pocas).
Por suerte, quienes descubrieron este problema no tenían malas intenciones y pudieron avisar a Google a tiempo para que lo corrigieran en la versión 2.3, Gingerbread. Los que tengamos versiones anteriores (la mayoría) tendremos o bien que esperar la actualización o bien tener sumo cuidado con las aplicaciones que instalamos.
Otra cuestión es que el concepto no está limitado únicamente a Android. Habría que ver si otros sistemas para smartphones táctiles serían también vulnerables a esta técnica: Windows Phone 7, BlackBerry OS, Palm, iOS… Las repercusiones serían distintas por las diferencias entre los sistemas, pero no quita que pueda haber un problema de seguridad. Eso sí, de momento no se ha descubierto nada así que no hay por qué preocuparse.
Vía | Security By Default
Más información | Lookout Blog