Durante el día de ayer varios medios, entre ellos este, se hicieron eco de un informe publicado por la empresa de seguridad móvil SMobile Systems, centrado en el tema de la seguridad de las aplicaciones de la Android Market, el cual dejaba bastante mal parada a la mentada tienda de aplicaciones para la plataforma móvil de Android propiedad de Google.
Pues bien, la gente de Google ha salido a defender a su tienda de aplicaciones de las negativas conclusiones vertidas por SMobile en su estudio utilizando a la publicación Gizmodo como vocero. Exactamente esto es lo que han dicho un portavoz de Google sobre el informe y sus conclusiones:
Este informe reporta de forma falsa que los usuarios de Android no tienen control sobre qué aplicaciones pueden acceder a qué datos. No solo cada aplicación debe obtener permiso de los usuarios para acceder a información sensible, los desarrolladores también pasan por controles para confirmar sus identidades reales, y deshabilitamos cualquier aplicación que detectamos es maliciosa.
Tras conocer esta respuesta de Google servidor la quería publicar no solamente porque me parece de justicia hacerlo, sino también para rectificar el fallo cometido por mi al hacerme eco del estudio de la discordia ayer y sacar conclusiones precipitadas basándome en el mismo sobre la Android Market. Independientemente de lo que se apunta en el estudio dos claros errores cometí, los cuales intentaré por todos los medios no se vuelvan a repetir:
- Dar por bueno un informe bastante destructivo sin haberlo leído de manera concienzuda y comprobar más exhaustivamente quién estaba detrás del mismo
- Sacar conclusiones sin conocer al cien por cien las políticas que rigen la Android Market
Si lo que apunta Google en su declaración es cierto (y yo les creo que ya es mucho el tiempo que llevo analizando servicios de Google), el informe se cae por su propio peso. Personalmente sabía que los del buscador contaban con sistemas de seguridad automáticos en la tienda de aplicaciones, pero no que los desarrolladores también pasan por filtros para comprobar su identidad, y esto es realmente importante en general y particularmente en el caso que nos ocupa.
De manera resumida SMboline se basó en dos factores para dilucidar qué aplicaciones de las analizadas eran peligrosas: sus capacidades relacionadas con datos privados así como otras potencialmente peligrosas (poder bloquear el terminal por ejemplo) y si dichas capacidades son o no realmente necesarias. Es obvio que un delincuente puede crear una app con fines ilegítimos que se nutra para conseguirlos de las características que cualquier aplicación de Android puede utilizar, pero como vemos Google comprueba la identidad de los desarrolladores con lo que es muy complicado que un “chico malo” consiga colar una aplicación maliciosa, y esto es lo peligroso, quien está detrás de una aplicación más que los permisos de la misma. Por otro lado valorar si las capacidades de una app son o no necesarias es algo subjetivo, lo realmente importante como digo es saber si detrás de una app está un delincuente o no. Por ejemplo la propia aplicación de SMobile para Android, en base a este sistema de valoración, también es potencialmente dañina.
El otro tema muy importante una vez visto que la metodología en la que se base el informe no sirve, son las conclusiones del mismo, y las culpables en gran medida de que yo publicara el errado artículo de ayer. SMobile asegura entre las conclusiones cosas como que una de cada cinco aplicaciones analizadas pueden realizar llamadas a cualquier número sin que sea necesaria la autorización del usuario o enviar SMSs Premium, algo que Google desmiente rotundamente en el comunicado. Es decir, que ni siquiera se sostienen las conclusiones que aunque obtenidas de manera chapucera serían preocupantes de todas las maneras.
Termino este post como el de ayer, con otra conclusión propia: en la Android Market, como en cualquier otra, seguramente existan aplicaciones maliciosas, pero ni de lejos tantas como apunta el estudio, y lo más importante, Google, hasta que se demuestre lo contrario, si que cuenta con sistemas de seguridad eficaces en la tienda. Finalmente solo me queda pedir disculpas por la pifia y agradecer a los comentaristas de esta casa sus críticas, justificadas, vertidas en mi post sobre el informe.
Sólo una pequeña corrección:
En la frase “..el herrado artículo de ayer…” la palabra “herrado” creo que es más bien “errado”. ;-)
Saludos.
Enr.
Salvo que quiera decir que el artículo de ayer lleva herraduras.
jajajaja
¿Sería posible enlazar este artículo desde el anterior? Una nota al principio sería de agradecer para que la gente que llegue al primer artículo encuentre el segundo.
Hola:
Te ennoblece este artículo y te hace merecedor de seguir tus análisis. Gracias por compartirlo pues nos enseña a todos cómo reaccionar y cómo analizar las cosas.
Un saludo.
En esta ocasión, bravo por Elías.
Y los que ayer criticamos (yo entre ellos), hoy aplaudimos. Bien por ti!!!
Muy bien por el blog!, pero para la proxima vez (todos nos equivocamos) recordar que aunque rectificar es de sabios, hacerlo siempre es de necios.
Rectificar es de sabios ;)
Es de sabios rectificar ;)
Chapó. Así es como se demuestra que detrás de un blog hay una persona, y si demuestra tener reflejos, capacidad de reacción y autocrítica, es que es una persona que realmente vale para informar.
Me quito el sombrero.
todos te agradecemos la rectificación :)
Así sí. Bien hecho
El “problema” que habria, es la posibilidad de instalar aplicaciones que no pase por el Android Market, ya que no se tendría ningún poder sobre él…
buscandole un pocolos 3 pies al gato :p
Quería añadir, en donde si que puede haber “peligro” es en la aplicación Apktor (o la original, Aptoide) ya que se trata de un “Cydia androide”. Es decir, un Market alternativo en el que se pueden subir aplicaciones que no han pasado por el control de Google, con las cosas buenas, pero también malas, que esto puede conllevar. Aunque también abunda la piratería, aplicaciones de pago que están ahí de forma gratuita. Obviamente, en dichas aplicaciones pirateadas puede haber alguna modificación no declarada que tenga segundas intenciones.
Esto siempre desde fuera del Android Market, que es la tienda oficial y amparada por Google. ¿Por qué se permite que Aptoide y Apktor (una versión mejorada por otro desarrollador) estén en el Market? Por que de por si sola no hace nada malo al móvil, y para algunos desarrolladores puede resultar interesante, porque no estén de acuerdo con alguna cláusula de Google, u otros motivos que desconozco. Y porque supongo que algunos desarrolladores pensarán que permitir el pirateo a la larga les beneficia. Yo no lo veo así, pero allá cada uno.
Creo que debía comentar esto, ya que aclara un poco más cómo funciona el ecosistema de Android y su Market.
Saludos ;)
Efectivamente, es de sabios. Enhorabuena.
Una rectificación que te honra :)
Que bueno que saben reconocer!
Habemos usuarios no tan conocedores y errores como el de ayer nos pueen confundir… acabo de compar un movil con Andoid y el articulo de ayer me “medio” mortifico un poco…
Gracias por mantenernos al tanto
Todos cometemos errores, pero no todos lo sabemos reconocer, bien por Elias. ;)
Me alegra haber visto este artículo. Y más siendo Elías. De otros como que no me lo espero…
Espero que descubras algo más de android, te sorprenderás la comunidad que la apoya. Saludos.