viernes, septiembre 18, 2015

Un negocio de apps con la imagen de las Universidades Españolas en #Android

Ayer me llegó desde varios contactos distintos información de un desarrollador de nombre "Business Stock Exchange Corporation", que se había creado apps con la imagen de las principales universidades españolas mostrándose a los usuarios como si fuera la app del Campus de la Universidad. En el periodo en el que nos encontramos, con muchos jóvenes entrando en la universidad por primera vez, hubiera sido muy fácil conseguir que se instalase en muchos terminales.

Figura 1: Un negocio de apps con la imagen de las Universidades Españolas

A día de hoy la cuenta del desarrollador ha sido cerrada y todos las apps han sido eliminadas de Google Play, pero aún están copiadas en cientos de sitios de Internet que se dedican a ofrecer apps tomadas desde el market oficial de Google. Como se puede ver en esta captura que tomé ayer mientras revisaba la información, utiliza el mismo esquema en todas ellas Campus Universidad y el logo oficial de la misma

Figura 2: Apps creadas con la imagen de las universidades españolas
por el desarrollador "Business Stock Exchange Corporation"

En el texto de descripción, en ningún momento indica que no es una app oficial, o da más datos de su procedencia, ya que solo pone que desde esta app podrás acceder a los servicios del campus de la universidad y promociona todo lo que desde la web de la universidad - pero en este caso a través de la app -  se puede hacer.

Figura 3: Descripción de la app de Campus UNED

Mirando en más detenimiento las apps, estas habían sido creadas con un generador automático de apps a partir de páginas web que se llama Mobincube, con el único objetivo de poder tener metidos los frameworks de publicidad y conseguir dinero con los usuarios que se la instalen. Como se puede ver, en la web de Mobincube aún están promocionadas todas como Campus USAL.

Figura 4: Referencia en Mobincube a la app de Campus USAL

Mirando en Tacyt, para saber algo más de este desarrollador, se puede ver que tenía otras apps con otros negocios también peculiares, uno de ellos es el típico de "Soy rico y tiro el dinero comprando estas apps que no valen para nada".

Figura 5: I'm a Golden Rich de Business Stock Exchange Corporation. Ya retirada.

Una app de 199 € que solo dice eso, pero que por el número de las descargas no parece que tuviera mucho éxito.

¿Cuál es el verdadero problema para los usuarios?

El utilizar una app no oficial como estas para acceder a los servicios de una Universidad - en este caso - o cualquier otro servicio, implica que desde el código de la app se puede acceder a todo lo que se teclea en la WebView donde se introducen las credenciales. Si la app decidiera volverse maliciosa en el futuro, podría acceder a todos los usuarios y contraseñas.


Figura 6: Configuración y uso de Latch en la Universidad de Salamanca.
Si entras nuevo este año, configúrate Latch hoy mismo.

En el caso de la USAL en concreto está implementado Latch como 2º Factor de Autenticación para evitar que el robo de credenciales pueda significar un robo de la identidad de los usuarios, pero hay muchas universidades que aún no implementan ninguna protección extra sobre las cuentas de los estudiantes y profesores, lo que maximiza el riesgo contra este tipo de apps y por lo tanto deberían controlar las apps que se publican en los markets.

Figura 7: Apps con algún enlace hacia usal.es

Nosotros esto lo monitorizamos haciendo búsquedas por apps que contengan enlaces a la infraestructura de las organizaciones. Por ejemplo, mirando las apps que hay en Google Play que apuntan a sitios de la Universidad de Salamanca podemos ver que solo hay 6 apps y que todos están bien controlados.

Saludos Malignos!

4 comentarios:

Ahiezer Alvarez dijo...

Otro modelo de negocio mas para los estafadores

Anónimo dijo...

Yo ahí veo un desarrollador que solo intenta traer el pan a casa sin hacer daño a nadie. Como bien as dicho, en la descripción el informaba que no era una app oficial y por tanto si la utilizas ya sabes el riesgo que corres.
Esto ya empieza a encontrarse dentro de la franja entre el bien y el mal, donde inocentes pueden ser castigados y malvados pueden salir impunes, donde lo legal y lo ilegal no se corresponde con lo que esta claramente bien y lo que esta claramente mal, donde moviendose ligeramente el punto de vista cambia.
Lo único que espero es que la libertad para los buenos continue existiendo, pues cualquier software se podria volver malicioso, incluso tu windows, linux, mac, adnroid, IOS, si esque todavia no lo son, y no por eso las vamos a censurar desde ya por si acaso.

Anónimo dijo...

Das acceso a unas páginas y servicios que de origen no llevan publicidad o no implican coste para los usuarios. En cuanto metes publicidad estás haciendo un negocio que se puede considerar no totalmente blanco ni tampoco negro, sino más bien gris. Otra cosa sería que tú recogieras información de esas páginas o servicios, y la procesaras o alojaras para ofrecer algo diferente usando tus propios recursos; entonces la publicidad sí sería un poco más comprensible.

Anónimo dijo...

Vaya, pues aquí uno de los "primos" que la instaló. Solo la usé un par de veces y acabo de desinstalarla, y ya he cambiado la contraseña de acceso a UNED. No creo que se pueda hablar de puntos de vista en este caso, estaba usando el logo oficial de la universidad sin permiso con el fin de engañar a la gente, por mucho que en la descripción dijese que no era app oficial.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares