Knopfler
05/02/10, 23:03:01
Lo leí hace un tiempo y me parece tremendamente interesante, y creo que es bueno que se lea, no como alarmismo, sino como algo a tener en cuenta:
http://androidandme.com/2009/09/hacks/why-not-everyone-should-root-their-android-phones/
Traduzco más o menos:
"Los peligros de rootear tu móvil android"
(Quien se lo lea entero tiene premio :risitas:)
Bien, ya tienes tu nuevo G1 o MyTouch 3G (o el que tengas) y has estado leyendo sobre todas las cosas guays que se puede hacer con él... pero resulta que tienes que "rootear" tu aparato para hacer esas cosas guays. Así que, claro, te conectas, encuentras un tutorial (o aún mejor, el método llamado "Root con un sólo click") y te pones a rootear el aparato. Para tu sorpresa, ha sido tan fácil que ha funcionado a la primera a la perfección. Enhorabuena.
Ahora, en un mundo perfecto, cada usuario que ha usado este método sabe exáctamente lo que está haciendo, y lo que es todavía más importante, como mantener su aparato y la información que contiene y a la que está conectado a salvo a partir de entonces.
Pero la realidad es que no vivimos en un mundo perfecto y veo cada día a nuevos usuarios de Android que escogen rootear primero y preguntar después. O sea, deciden que quieren o necesitan rootear su aparato antes de conocer realmente lo que ello supone.
Sin embargo, no puedo echar toda la culpa a los usuarios en este punto, porque sé que hay muchos (realmente buenos) tutoriales por ahí sobre rootear, y sé que ninguno de ellos pone suficiente énfasis en la gravedad que conlleva. Algunos fallan irremediablemente en dejar claro que estás comprometiendo la seguridad de tu dispositivo cuando lo rooteas. Es como si presupusieran un cierto nivel técnico del lector, y todos sabemos lo que ocurre cuando presupones.
Por ello, me inquieto cuando los tutoriales para rootear están colocados justo al lado de los tutoriales para principiantes. Para el lector, eso implica que rootear es un procedimiento de priincipiantes, y que todos los principiantes deberían hacerlo. Con esto, debo disentir. De hecho, hay algunos usuarios que simplemente no deberían hacerlo.
Para explicar por completo porqué creo que no todos los usuarios deberían rootear, tengo que salirme de la discusión de "root" por un momento, pero espero que sirva para explicar mi punto de vista.
¿Cuántas veces has ido rebuscando por el Market y has visto una aplicación o juego que has querido bajarte? Muchas ¿no?
¿Cuántas veces te has bajado esa aplicación o juego, te ha aparecido la lista de permisos requeridos, has visto cosas como Acceso completo a Internet, Localización GPS, Leer Contactos, etc... ? Has pensado alguna vez ¿Uhmm por qué un juego como Asteroides o "Pon el nombre del juego que quieras aquí" necesitan acceso a estas cosas? ¿Lo has instalado de todos modos? No te preocupe decir que sí... Yo también lo he hecho.
El hecho de que el Market nos diga que tipo de cosas una aplicación determinada quiere hacer es realmente asombroso, pero no es suficiente. A no ser que el usuario coja esa información y tome una decisión informada, no tiene mucho sentido esta medida de seguridad. Tan pronto como concedes permisos a una aplicación, hay poco que puedas hacer para evitar que tomen información de tu lista de Contactos (por ejemplo) mandándola a su servidor y haciendo lo que quieran con ella. Estoy seguro que tu madre no te agredecería las repercusiones que pudiera eso tener (spam, telemarketing, llamadas, correo basura, etc.)
Y toma, por ejemplo, otro tipo de aplicación. Esa que puede tener la mejor de las intenciones, pero la peor de las implementaciones. Lo creas o no, los desarrolladores cometen fallos. A veces, un desarrollador elige usar un protocolo que cree que es seguro y no lo es. O quizás elige utilizar un inicio de sesión único para todos los usuarios, y entonces deja, en el código de depuración que imprime ese inicio de sesión, información a la consola. Supón también, que esta aplicación bien intencionada ofrece también la opción de hacer un wipe remoto a tu teléfono. ¿Qué pasa cuando alguien descubre como falsear información (probablemente ya lo saben) y enviarla al servidor e invocar un wipe de tus datos sin tú saberlo?
Básicamente, lo que estoy diciendo es que incluso aplicaciones no root pueden ser dañinas para el usuario más confiado. Dicho esto, volvemos a la discusión sobre el acceso root para aplicaciones.
Así, con aplicaciones Android con permisos root vemos el mismo potencial para mal uso que vemos en los móviles normales con aplicaciones Android y añadimos un nuevo nivel de potencial. ¿Por qué? Porque el acceso root esquiva las restricciones de seguridad puestas en marcha con el S.O. Android y no hay ninguna manera realmente efectiva de decir que es lo que la aplicación pretende hacer con ese poder.
Cuantas veces nosotros (sí, yo también lo he hecho) hemos otorgado acceso "Permitir siempre" a una aplicación sin conocer completa y realmente lo que esa aplicación iba a hacer ¿Cómo lo podemos saber exactamente? La mayoría de nosotros no podemos, así que confiamos en lo que los demás usuarios nos cuentan, o confiamos en el desarrollador. Pero claro, no siempre será de confianza.
En la mayoría de los casos, pero no todos, esas aplicaciones son de código abierto, así que podemos echar un vistazo al código para evaluar el riesgo. Pero de nuevo, con una aplicación de código abierto, hay una mayor posibilidad de encontrarnos con una versión modificada. Incluso dando permiso de acceso sólo una vez, puedes arruinar tu teléfono.
¿Pero qué puede exáctamente hacer una aplicación root maliciosa? Básicamente cualquier cosa. En una pequeña tormenta de ideas con un amigo, llegamos a sacar una amplia variedad de cosas maliciosas que una aplicación con permisos root podría llegar a hacer.
- Reemplazar la aplicación Gmail con una versión modificada.
-Reemplazar tu teclado con una versión que registrara las pulsaciones del teclado.
-Borrar ficheros como aplicaciones o datos de aplicaciones.
-Descargar y tratar de instalar una versión ROM modificada.
-Descargar e instalar otra aplicación que se ejecutara de noche para llamar a números 900.
-Conseguir acceso a tu cuenta del Market y hacer compras a tu cargo.
-Y la lista continúa...
Por fortuna, todavía no hemos visto nada de eso. Esperemos que nunca lo veamos.
Si estás ahora pensando "Tío todo eso asusta..." entonces estoy empezando a sentirme mejor. Es el usuario que reconoce el potencial de mal uso y lo tiene en mente cuando usa las aplicaciones, el que estará más preparado para proteger su dispositivo y su información.
Busca por tu cuenta. Investiga sobre una aplicación y su desarrollador antes de confiar en ellos. Como precaución, no utilices el "Permitir siempre" en la aplicación Super Usuario, aunque eso no te protegerá de un ataque único.
Idealmente, no necesitaríamos rootear nuestros aparatos para la mayoría de las cosas para lo que lo hacemos.
Por ejemplo, sospecho que una gran mayoría de usuarios rootean porque quieren aplicar un tema. Si Android soportara nativamente los temas, eso reduciría el número de personas que rootearía. Algunos hacen root porque hay optimizaciones añadidas para hacer ir más rápido el teléfono. Quizás algunas de esas optimizaciones podrían ser aportadas al Android Open Source Project e incluirlas en builds oficiales. En el caso del G1, donde el almacenamiento es extremadamente limitado, rooteamos para poder instalar las aplicaciones en la tarjeta SD, o para poder seguir recibiendo actualizaciones del S.O.
Para una mayor explicación, tengo dos aparatos Android, un G1 T-Mobile y un Google Ion (HTC Magic) y amobs están rooteados. Roteé mi G1 cuando me llegó para poder instalar aplicaciones en la SD. No pretendo decir que sabía exactamente lo que hacía en aquella época y estoy seguro que aún no lo hago. Durante meses, useé mi Ion sin rootear, y sólo recientemente, he probado el método "root con un sólo click", de otra forma, seguiría muy feliz con mi teléfono sin root.
Estoy seguro que hay algunos lectores que deben estar preguntándose a qué viene este post. Para ser honesto, viene después de observar que muchos usuarios noveles de Android tienen la impresión que para que tu aparato Android sea "funcional" tiene que estar rooteado. Y aunque, normalmente no lo vería como un problema, cada vez estamos viendo como más usuarios no comprenden exactamente el concepto root en su conjunto, y mientras Android continúe ganando impulso, la probabilidad de un ataque aumenta.
http://androidandme.com/2009/09/hacks/why-not-everyone-should-root-their-android-phones/
Traduzco más o menos:
"Los peligros de rootear tu móvil android"
(Quien se lo lea entero tiene premio :risitas:)
Bien, ya tienes tu nuevo G1 o MyTouch 3G (o el que tengas) y has estado leyendo sobre todas las cosas guays que se puede hacer con él... pero resulta que tienes que "rootear" tu aparato para hacer esas cosas guays. Así que, claro, te conectas, encuentras un tutorial (o aún mejor, el método llamado "Root con un sólo click") y te pones a rootear el aparato. Para tu sorpresa, ha sido tan fácil que ha funcionado a la primera a la perfección. Enhorabuena.
Ahora, en un mundo perfecto, cada usuario que ha usado este método sabe exáctamente lo que está haciendo, y lo que es todavía más importante, como mantener su aparato y la información que contiene y a la que está conectado a salvo a partir de entonces.
Pero la realidad es que no vivimos en un mundo perfecto y veo cada día a nuevos usuarios de Android que escogen rootear primero y preguntar después. O sea, deciden que quieren o necesitan rootear su aparato antes de conocer realmente lo que ello supone.
Sin embargo, no puedo echar toda la culpa a los usuarios en este punto, porque sé que hay muchos (realmente buenos) tutoriales por ahí sobre rootear, y sé que ninguno de ellos pone suficiente énfasis en la gravedad que conlleva. Algunos fallan irremediablemente en dejar claro que estás comprometiendo la seguridad de tu dispositivo cuando lo rooteas. Es como si presupusieran un cierto nivel técnico del lector, y todos sabemos lo que ocurre cuando presupones.
Por ello, me inquieto cuando los tutoriales para rootear están colocados justo al lado de los tutoriales para principiantes. Para el lector, eso implica que rootear es un procedimiento de priincipiantes, y que todos los principiantes deberían hacerlo. Con esto, debo disentir. De hecho, hay algunos usuarios que simplemente no deberían hacerlo.
Para explicar por completo porqué creo que no todos los usuarios deberían rootear, tengo que salirme de la discusión de "root" por un momento, pero espero que sirva para explicar mi punto de vista.
¿Cuántas veces has ido rebuscando por el Market y has visto una aplicación o juego que has querido bajarte? Muchas ¿no?
¿Cuántas veces te has bajado esa aplicación o juego, te ha aparecido la lista de permisos requeridos, has visto cosas como Acceso completo a Internet, Localización GPS, Leer Contactos, etc... ? Has pensado alguna vez ¿Uhmm por qué un juego como Asteroides o "Pon el nombre del juego que quieras aquí" necesitan acceso a estas cosas? ¿Lo has instalado de todos modos? No te preocupe decir que sí... Yo también lo he hecho.
El hecho de que el Market nos diga que tipo de cosas una aplicación determinada quiere hacer es realmente asombroso, pero no es suficiente. A no ser que el usuario coja esa información y tome una decisión informada, no tiene mucho sentido esta medida de seguridad. Tan pronto como concedes permisos a una aplicación, hay poco que puedas hacer para evitar que tomen información de tu lista de Contactos (por ejemplo) mandándola a su servidor y haciendo lo que quieran con ella. Estoy seguro que tu madre no te agredecería las repercusiones que pudiera eso tener (spam, telemarketing, llamadas, correo basura, etc.)
Y toma, por ejemplo, otro tipo de aplicación. Esa que puede tener la mejor de las intenciones, pero la peor de las implementaciones. Lo creas o no, los desarrolladores cometen fallos. A veces, un desarrollador elige usar un protocolo que cree que es seguro y no lo es. O quizás elige utilizar un inicio de sesión único para todos los usuarios, y entonces deja, en el código de depuración que imprime ese inicio de sesión, información a la consola. Supón también, que esta aplicación bien intencionada ofrece también la opción de hacer un wipe remoto a tu teléfono. ¿Qué pasa cuando alguien descubre como falsear información (probablemente ya lo saben) y enviarla al servidor e invocar un wipe de tus datos sin tú saberlo?
Básicamente, lo que estoy diciendo es que incluso aplicaciones no root pueden ser dañinas para el usuario más confiado. Dicho esto, volvemos a la discusión sobre el acceso root para aplicaciones.
Así, con aplicaciones Android con permisos root vemos el mismo potencial para mal uso que vemos en los móviles normales con aplicaciones Android y añadimos un nuevo nivel de potencial. ¿Por qué? Porque el acceso root esquiva las restricciones de seguridad puestas en marcha con el S.O. Android y no hay ninguna manera realmente efectiva de decir que es lo que la aplicación pretende hacer con ese poder.
Cuantas veces nosotros (sí, yo también lo he hecho) hemos otorgado acceso "Permitir siempre" a una aplicación sin conocer completa y realmente lo que esa aplicación iba a hacer ¿Cómo lo podemos saber exactamente? La mayoría de nosotros no podemos, así que confiamos en lo que los demás usuarios nos cuentan, o confiamos en el desarrollador. Pero claro, no siempre será de confianza.
En la mayoría de los casos, pero no todos, esas aplicaciones son de código abierto, así que podemos echar un vistazo al código para evaluar el riesgo. Pero de nuevo, con una aplicación de código abierto, hay una mayor posibilidad de encontrarnos con una versión modificada. Incluso dando permiso de acceso sólo una vez, puedes arruinar tu teléfono.
¿Pero qué puede exáctamente hacer una aplicación root maliciosa? Básicamente cualquier cosa. En una pequeña tormenta de ideas con un amigo, llegamos a sacar una amplia variedad de cosas maliciosas que una aplicación con permisos root podría llegar a hacer.
- Reemplazar la aplicación Gmail con una versión modificada.
-Reemplazar tu teclado con una versión que registrara las pulsaciones del teclado.
-Borrar ficheros como aplicaciones o datos de aplicaciones.
-Descargar y tratar de instalar una versión ROM modificada.
-Descargar e instalar otra aplicación que se ejecutara de noche para llamar a números 900.
-Conseguir acceso a tu cuenta del Market y hacer compras a tu cargo.
-Y la lista continúa...
Por fortuna, todavía no hemos visto nada de eso. Esperemos que nunca lo veamos.
Si estás ahora pensando "Tío todo eso asusta..." entonces estoy empezando a sentirme mejor. Es el usuario que reconoce el potencial de mal uso y lo tiene en mente cuando usa las aplicaciones, el que estará más preparado para proteger su dispositivo y su información.
Busca por tu cuenta. Investiga sobre una aplicación y su desarrollador antes de confiar en ellos. Como precaución, no utilices el "Permitir siempre" en la aplicación Super Usuario, aunque eso no te protegerá de un ataque único.
Idealmente, no necesitaríamos rootear nuestros aparatos para la mayoría de las cosas para lo que lo hacemos.
Por ejemplo, sospecho que una gran mayoría de usuarios rootean porque quieren aplicar un tema. Si Android soportara nativamente los temas, eso reduciría el número de personas que rootearía. Algunos hacen root porque hay optimizaciones añadidas para hacer ir más rápido el teléfono. Quizás algunas de esas optimizaciones podrían ser aportadas al Android Open Source Project e incluirlas en builds oficiales. En el caso del G1, donde el almacenamiento es extremadamente limitado, rooteamos para poder instalar las aplicaciones en la tarjeta SD, o para poder seguir recibiendo actualizaciones del S.O.
Para una mayor explicación, tengo dos aparatos Android, un G1 T-Mobile y un Google Ion (HTC Magic) y amobs están rooteados. Roteé mi G1 cuando me llegó para poder instalar aplicaciones en la SD. No pretendo decir que sabía exactamente lo que hacía en aquella época y estoy seguro que aún no lo hago. Durante meses, useé mi Ion sin rootear, y sólo recientemente, he probado el método "root con un sólo click", de otra forma, seguiría muy feliz con mi teléfono sin root.
Estoy seguro que hay algunos lectores que deben estar preguntándose a qué viene este post. Para ser honesto, viene después de observar que muchos usuarios noveles de Android tienen la impresión que para que tu aparato Android sea "funcional" tiene que estar rooteado. Y aunque, normalmente no lo vería como un problema, cada vez estamos viendo como más usuarios no comprenden exactamente el concepto root en su conjunto, y mientras Android continúe ganando impulso, la probabilidad de un ataque aumenta.