Spyware en BlackBerry puede interceptar textos, correo y localizar la posición del usuario

Un investigador de seguridad demostró un programa espía en la conferencia  ShmooCon el pasado domingo que es capaz de interceptar y registrar los mensajes de texto, correos electrónicos,  tráfico de Internet y otros datos enviados desde y hacia los dispositivos BlackBerry. 

Tyler Shields, investigador de seguridad senior de VeraCode, presentó  una demostración de un programa llamado txsBBSPY, que no usa explotaciones o vulnerabilidad para realizar su trabajo y es simplemente una aplicación legítima escrita para el BlackBerry. La aplicación tiene la capacidad de acceder y volcar los contactos del dispositivo, los mensajes de correo electrónico, los registros del teléfono, la ubicación actual y las grabaciones realizadas por el micrófono del BlackBerry. 

También monitorea continuamente los mensajes SMS  entrantes y salientes, las llamadas realizadas y registra las coordenadas GPS del dispositivo en tiempo real. La aplicación es compatible con varios protocolos de comunicación, incluyendo HTTP, UDP, SMS y correo electrónico, y puede ser controlado remotamente a través de comandos simples. 

Shields liberó el código fuente de txsBBSPY, así como así como una presentación técnica con detalles  de la aplicación. 

Dentro del blog de VeraCode, Chris Eng, dijo que no era necesario para intentar colocar el txsBBSPY dentro de la tienda BlackBerry App World, simplemente porque los usuarios de BlackBerry pueden instalar aplicaciones desde cualquier lugar, a diferencia de los usuarios del iPhone. 

"Nuestro objetivo era demostrar cómo las aplicaciones de BlackBerry pueden acceder y filtrar información confidencial usando solamente la API proporcionada por RIM sin necesidad de explotaciones o trucos de cualquier tipo. No hacemos hipótesis de cómo una aplicación maliciosa puede ser instalada en el teléfono, ni intentamos insertar una aplicación maliciosa dentro del BlackBerry App World. Las aplicaciones para BlackBerry puede ser instaladas en cualquier lugar, además, hay tantos ejemplos de malware que burlan los procesos de selección de las diversas tiendas de aplicaciones (Apple, Symbian, Android, etc.) que no creemos que sea necesario mencionarlos nuevamente. Hasta cierto punto, las tiendas oficiales de aplicaciones ofrece a los usuarios una falsa sensación de seguridad porque la gente asume que todo en la tienda debe ser digno de confianza ", escribió Eng. 

La aplicación fue creada utilizando los controladores otorgados por la API de Research In Motion, que el  propio fabricante de la BlackBerry pone a disposición de los desarrolladores. Con el fin de firmar una aplicación BlackBerry creada con esta API, el desarrollador tiene que solicitar las claves de firma y pagar una pequeña cuota. Una vez que tiene la llave, puede firmar la solicitud, y un muestra del código se envía a RIM. Sin embargo, RIM no obtiene el código fuente completo de la aplicación. 

Desde ahí, una vez que el usuario instala txsBBSPY, el dueño remoto de la aplicación tiene línea directa al BlackBerry del usuario. Con el fin de defenderse contra este tipo de ataques, los usuarios pueden cambiar los permisos de las aplicaciones en su dispositivo y así restringir las aplicaciones que tienen acceso a los datos, escribió Eng. El personal de TI también puede establecer políticas para evitar que los usuarios instalen aplicaciones no autorizadas de terceros. 

"Por último, cabe señalar que si bien elegimos BlackBerry para nuestra prueba de concepto, esto no es sólo un problema de BlackBerry. Todas las plataformas móviles proporcionan mecanismos similares para escribir aplicaciones que tienen acceso a la información personal potencialmente sensible del usuario, ", escribió Eng.