El poder de un buen
titular es hipnótico. El que copa muchas noticias de seguridad estos
días es el "descubrimiento del primer malware para
Firefox OS". El
título es atractivo, pero ¿es correcto? El desarrollo de la noticia
invita a la reflexión sobre qué ha ocurrido exactamente, en qué
consiste el "descubrimiento" y por qué todavía no se han superado
ciertos mitos.
Firefox OS es un reciente sistema operativo basado en web. Todas sus
programas son web, creados a partir de JavaScript, CSS3 y HTML5. Esto
implica que las aplicaciones se puede distribuir de dos formas: En un
zip que lo contenga todo, o a través de una URL que la aloje y se
visite. Un chico de 17 años ha creado una
prueba de concepto de malware para Firefox OS.
Presentará sus investigaciones en una convención en noviembre. Dice que
su aplicación permite realizar ciertas acciones potencialmente no
deseadas sobre el dispositivo de forma remota, controlándolo a través de
comandos.
¿Es esto malware? Depende. Habrá aplicaciones legítimas que necesiten
acceder a datos en la SD, a los contactos, etc. Se les permitirá porque
el usuario normalmente confiará en el fabricante/programador. Como bien
describe el documento sobre seguridad de
Firefox OS, existe un modelo
basado en la confianza en la aplicación.
Lo que llama la atención es el control de aplicaciones ajenas (habla de
controlar la radio). También invita a llamarlo "malware" que el se hable
de "enviar comandos", aunque una vez la aplicación está instalada,
parece sencillo enviar comandos... así que en general el problema no es
tanto qué haga esa prueba de concepto que se ha creado sino cómo lo
hace, cómo llega a disponer de esos permisos o cómo ha conseguido
hacerlo. Por lo poco que sabemos, suponemos que el usuario lanza una
aplicación alojada en un servidor, y esta realiza ciertas acciones que
pueden ser potencialmente no deseadas por el usuario.
