Durante el día de ayer varios medios, entre ellos este, se hicieron eco de un informe publicado por la empresa de seguridad móvil SMobile Systems, centrado en el tema de la seguridad de las aplicaciones de la Android Market, el cual dejaba bastante mal parada a la mentada tienda de aplicaciones para la plataforma móvil de Android propiedad de Google.
Pues bien, la gente de Google ha salido a defender a su tienda de aplicaciones de las negativas conclusiones vertidas por SMobile en su estudio utilizando a la publicación Gizmodo como vocero. Exactamente esto es lo que han dicho un portavoz de Google sobre el informe y sus conclusiones:
Este informe reporta de forma falsa que los usuarios de Android no tienen control sobre qué aplicaciones pueden acceder a qué datos. No solo cada aplicación debe obtener permiso de los usuarios para acceder a información sensible, los desarrolladores también pasan por controles para confirmar sus identidades reales, y deshabilitamos cualquier aplicación que detectamos es maliciosa.
Tras conocer esta respuesta de Google servidor la quería publicar no solamente porque me parece de justicia hacerlo, sino también para rectificar el fallo cometido por mi al hacerme eco del estudio de la discordia ayer y sacar conclusiones precipitadas basándome en el mismo sobre la Android Market. Independientemente de lo que se apunta en el estudio dos claros errores cometí, los cuales intentaré por todos los medios no se vuelvan a repetir:
- Dar por bueno un informe bastante destructivo sin haberlo leído de manera concienzuda y comprobar más exhaustivamente quién estaba detrás del mismo
- Sacar conclusiones sin conocer al cien por cien las políticas que rigen la Android Market
Si lo que apunta Google en su declaración es cierto (y yo les creo que ya es mucho el tiempo que llevo analizando servicios de Google), el informe se cae por su propio peso. Personalmente sabía que los del buscador contaban con sistemas de seguridad automáticos en la tienda de aplicaciones, pero no que los desarrolladores también pasan por filtros para comprobar su identidad, y esto es realmente importante en general y particularmente en el caso que nos ocupa.
De manera resumida SMboline se basó en dos factores para dilucidar qué aplicaciones de las analizadas eran peligrosas: sus capacidades relacionadas con datos privados así como otras potencialmente peligrosas (poder bloquear el terminal por ejemplo) y si dichas capacidades son o no realmente necesarias. Es obvio que un delincuente puede crear una app con fines ilegítimos que se nutra para conseguirlos de las características que cualquier aplicación de Android puede utilizar, pero como vemos Google comprueba la identidad de los desarrolladores con lo que es muy complicado que un "chico malo" consiga colar una aplicación maliciosa, y esto es lo peligroso, quien está detrás de una aplicación más que los permisos de la misma. Por otro lado valorar si las capacidades de una app son o no necesarias es algo subjetivo, lo realmente importante como digo es saber si detrás de una app está un delincuente o no. Por ejemplo la propia aplicación de SMobile para Android, en base a este sistema de valoración, también es potencialmente dañina.
El otro tema muy importante una vez visto que la metodología en la que se base el informe no sirve, son las conclusiones del mismo, y las culpables en gran medida de que yo publicara el errado artículo de ayer. SMobile asegura entre las conclusiones cosas como que una de cada cinco aplicaciones analizadas pueden realizar llamadas a cualquier número sin que sea necesaria la autorización del usuario o enviar SMSs Premium, algo que Google desmiente rotundamente en el comunicado. Es decir, que ni siquiera se sostienen las conclusiones que aunque obtenidas de manera chapucera serían preocupantes de todas las maneras.
Termino este post como el de ayer, con otra conclusión propia: en la Android Market, como en cualquier otra, seguramente existan aplicaciones maliciosas, pero ni de lejos tantas como apunta el estudio, y lo más importante, Google, hasta que se demuestre lo contrario, si que cuenta con sistemas de seguridad eficaces en la tienda. Finalmente solo me queda pedir disculpas por la pifia y agradecer a los comentaristas de esta casa sus críticas, justificadas, vertidas en mi post sobre el informe.