Uno menos, aún quedan muchos con el malware preinstalado en Android

English

El año pasado, investigamos una tableta infantil Dragon Touch (KidzPad Y88X 10) y confirmamos que estaba vinculada a una serie de Android TV Box totalmente comprometidos que también tenían múltiples informes de malware, adware y un canal de actualización de firmware poco fiable. Desde entonces, Google ha retirado al (ahora antiguo) distribuidor de tabletas de su lista de teléfonos y tabletas certificados por Play Protect. La carga de atrapar este tipo de amenaza no debe recaer en el consumidor. La diligencia debida por parte de fabricantes, distribuidores y revendedores es la única forma de abordar este problema de los dispositivos comprometidos preinstalados que llegan a manos de clientes sin saberlo. Pero para mitigar este problema, la regulación y la transparencia deben formar parte de la estrategia.

Desde octubre, Dragon Touch ya no vende ninguna tableta en su sitio web. Sin embargo, todavía hay existencias en lugares como Amazon y Newegg . Hay escaparates que solamente existen en sitios de revendedores para llegar mejor a los clientes, pero teniendo en cuenta que Dragon Touch también borró de su blog cualquier mención a sus tabletas, suponemos que aquí ha ocurrido algo más que un cambio de estrategia.

Nosotros escribimos una guía para ayudar a los padres a configurar los dispositivos Android de sus hijos de forma segura, pero es difícil elegir qué dispositivo comprar para empezar. Aconsejar a la gente que simplemente compre un iPad más caro o una Fire Tablet de Amazon no cambia el hecho de que la gente va a comprar dispositivos de bajo presupuesto. Los dispositivos de bajo presupuesto pueden ser igual de reputados si el ecosistema proporcionara una vía para una mejor responsabilidad.

¿Quién es responsable?

Hay algunas herramientas en desarrollo para la educación de los consumidores, como la recientemente desarrollada y voluntaria Cyber Trust Mark por la FCC. Esta etiqueta tendría como objetivo informar a los consumidores de las capacidades y garantizar que se cumplen las normas mínimas de seguridad de un dispositivo IoT. Sin embargo, que el consumidor asuma la carga de comprobar si hay malware preinstalado es absolutamente ridículo. La responsabilidad de comprobar si existe este tipo de amenaza debería recaer en los reguladores, fabricantes, distribuidores y revendedores.

La mayoría de las veces, puedes buscar dispositivos Android de bajo presupuesto en tiendas como Amazon o Newegg, y encontrar páginas de escaparates con poca transparencia sobre quién dirige la tienda y si proceden o no de un distribuidor reputado. Esto es cierto no sólo para los dispositivos Android, pero teniendo en cuenta cuántos productos se crean para y con el ecosistema Android, trabajar en este problema podría significar una mayor seguridad para miles de productos.

Sí, es difícil seguir la pista a cientos o miles de distribuidores y a todos sus productos. Es difícil mantenerse al día de las amenazas que se desarrollan rápidamente en la cadena de suministro. Es imposible que conozcas todas las amenazas que existen.

Con el debido respeto a los grandes revendedores, especialmente a los multimillonarios: mala suerte. Esto es lo que heredas cuando quieres "venderlo todo." También heredas la responsabilidad y el riesgo de cada mercado que invades o suplantes.

Posible remedio: Transparencia del firmware

Afortunadamente, hay esperanza en el horizonte y existen herramientas para controlar el firmware comprometido.

El año pasado, Google presentó Android Binary Transparency en respuesta al malware preinstalado. Esto ayudaría a rastrear el firmware que ha sido comprometido con estos dos componentes:

Un registro de información de firmware que es inmutable, globalmente observable, consistente y auditable. Asegurado con propiedades criptográficas.
Una red de participantes que invierten en testigos , la salud de los troncos y la normalización.

Google no es el primero en pensar en este concepto. Se trata en gran medida de extraer lecciones de éxito de Transparencia de los certificados. Sin embargo, un mejor apoyo directo del ecosistema Android a las imágenes de Android ayudaría sin duda. Esto proporcionaría un ecosistema de transparencia de fabricantes y desarrolladores que utilizan el Proyecto de Código Abierto de Android (AOSP) para ser tan respetados como las marcas de mayor precio.

Aquí en la EFF nos encanta el código abierto y nos gustaría seguir viendo innovación y disponibilidad en dispositivos que no son necesariamente creados por nombres más grandes y caros. Pero tiene que haber un ecosistema responsable para estos productos, de modo que el malware preinstalado pueda detectarse más fácilmente y no caiga en manos de los consumidores con tanta facilidad. Ahora mismo puedes verificar tu dispositivo Pixel si tienes un poco de habilidad técnica. Nos gustaría que la verificación la hicieran los reguladores y/o distribuidores en lugar de pedir a los consumidores que descifren sus líneas de comandos para verificar ellos mismos.

Sería ideal que programas existentes como Android Play Protect certificado ejecutaran un registro como éste con implementaciones de registro de código abierto, como Trillian . De esta forma, los investigadores de seguridad, los distribuidores y los organismos reguladores podrían empezar a supervisar y consultar información sobre los distintos fabricantes de equipos originales (OEM) de Android.

Existen herramientas para verificar el firmware, pero ahora mismo este ecosistema es una especie de lista de deseos. En la EFF, nos gusta imaginar qué podría ser mejor. Aunque actualmente no existe un registro completo alojado de los OEM de Android, sí existen las herramientas para crearlo. Algunos de los primeros participantes en la rendición de cuentas en el ámbito de Android son F-Droid's Android SDK Transparency Log y el Guardian Project's (Tor) Binary Transparency Log .

Se emplearía mejor el tiempo en resolver este problema de forma sistémica, que en investigar si cada nuevo rectángulo maligno electrónico o dispositivo IoT tiene malware o no.

Una solución complementaria con transparencia binaria es la Lista de Materiales del Software (SBOM). Piensa en esto como una "lista de ingredientes" que componen el software. Se trata de otra idea que no es muy nueva, pero que ha recabado más apoyo institucional y gubernamental . Los componentes enumerados en un SBOM podrían poner de relieve los problemas o vulnerabilidades que se notificaron para determinados componentes de un software. Sin embargo, sin transparencia binaria, los investigadores, verificadores, auditores, etc. podrían seguir intentando extraer firmware de dispositivos que no hayan listado sus imágenes. Si los fabricantes facilitaran fácilmente estas imágenes, los SBOM podrían generarse más fácilmente y contribuir a crear un mercado de productos electrónicos menos opaco. Con bajo presupuesto o sin él.

Nos alegra ver algún movimiento respecto a las investigaciones del año pasado. Justo a tiempo para el Viernes Negro. Se puede hacer más y esperamos que no solamente se retiren más rápidamente los dispositivos de los que se informa, sobre todo los que tienen componentes sospechosos, sino que se mejore el apoyo a la detección proactiva. Independientemente de lo que alguien pueda gastarse, todo el mundo merece un dispositivo seguro que no contenga malware.

Related Issues

Mobile devices

Join EFF Lists

Related Updates

Deeplinks Blog by Cooper Quintin | September 10, 2025

Rayhunter: What We Have Found So Far

Rayhunter is a program that runs on a variety of mobile hotspots and watches for cell-site simulators—a tool police use to locate or identify people's cell phones, also known as IMSI catchers or Stingrays. This project is a testament to the power and impact of open source and community driven...

Deeplinks Blog by Alexis Hancock | February 5, 2025

Cerrando la brecha del cifrado en el móvil

Es hora de ampliar la encriptación en Android y iPhone. Con gobiernos de todo el mundo empeñados en constantes ataques a los derechos digitales de los usuarios y a su acceso a Internet, eliminar objetivos evidentes y potencialmente peligrosos de las espaldas de las personas...

Deeplinks Blog by Cory Doctorow | October 29, 2024

Court Orders Google (a Monopolist) To Knock It Off With the Monopoly Stuff

A federal court recently ordered Google to make it easier for Android users to switch to rival app stores, banned Google from using its vast cash reserves to block competitors, and hit Google with a bundle of thou-shalt-nots and assorted prohibitions.Each of these measures is well crafted, narrowly tailored, and...

Deeplinks Blog by Will Greenberg, Brendan Gilligan | September 19, 2024

Prison Banned Books Week: Being in Jail Shouldn’t Mean Having Nothing to Read

Across the United States, nearly every state’s prison system offers some form of tablet access to incarcerated people, many of which boast of sizable libraries of eBooks. Knowing this, one might assume that access to books is on the rise for incarcerated folks. Unfortunately, this is not the case. A...

Deeplinks Blog by Cooper Quintin, Babette Ngene | July 15, 2024

EFF to FCC: SS7 is Vulnerable, and Telecoms Must Acknowledge That

It’s unlikely you’ve heard of Signaling System 7 (SS7), but every phone network in the world is connected to it, and if you have ever roamed networks internationally or sent an SMS message overseas you have used it. SS7 is a set of telecommunication protocols that cellular network operators...

Deeplinks Blog by Alexis Hancock | December 4, 2023

How to Secure Your Kid's Android Device

After finding risky software on an Android (Google’s mobile operating system) device marketed for kids, we wanted to put together some tips to help better secure your kid's Android device (and even your own). Despite the dangers that exist, there are many things that can be...

Deeplinks Blog by Bill Budington, Cooper Quintin | December 24, 2022

EFF’s Threat Lab Sharpens Its Knives: 2022 in Review

EFF’s Threat Lab is dedicated to deep-dive investigations that examine technology-enforced power imbalances in society. In 2022 we’ve sharpened our knives and honed our skills in an effort to bring down the stalkerware industry, taken aim at invasive surveillance by police, raised red flags around the security and privacy...

Deeplinks Blog by Karen Gullo | August 26, 2022

TechCrunch Launches Lookup Tool to Help Android Users Know if Their Device Was Compromised by a Family of Stalkerware Apps

The scourge of stalkerware—malicious apps used by perpetrators of domestic violence to secretly spy on their victims—is not going unchallenged or unaddressed.Antivirus makers are increasingly adding stalkerware to the list of apps their products detect on devices; victim support groups help people figure out whether their devices are...

Deeplinks Blog by Cooper Quintin | January 12, 2022

VICTORY: Google Releases “disable 2g” Feature for New Android Smartphones

Update: This feature is only available on certain phones running Android 12. So far we have only confirmed it is available on the Pixel 6. Last year Google quietly pushed a new feature to its Android operating system allowing users to optionally disable 2G at the modem level in their...

Deeplinks Blog by Eva Galperin | November 25, 2021

Coalition Against Stalkerware Celebrates Two Years of Work to Keep Technology Safe for All

In this guest post by the Coalition Against Stalkerware marking its second anniversary, the international alliance takes a look back on its achievements while seeing a lot of challenges ahead.Two years ago, in November 2019, the Coalition Against Stalkerware was founded by 10 organizations. Today, there are more than...

Search form

Search form

¿Quién es responsable?

Posible remedio: Transparencia del firmware

Related Issues

Search form

Search form

Uno menos, aún quedan muchos con el malware preinstalado en Android

Uno menos, aún quedan muchos con el malware preinstalado en Android

¿Quién es responsable?

Posible remedio: Transparencia del firmware

Related Issues

Join EFF Lists

Discover more.

Related Updates

Follow EFF:

Contact

About

Issues

Updates

Press

Donate