Seguridad Informatica Hacking

jueves, 25 de octubre de 2012

Remote Web Desktop

Estamos viviendo una autentica revolución y muchas veces no somos conscientes de ello, los que ya tenemos unos añitos seguro que recordamos cuando éramos niños y jugábamos a ser espías. Hoy la realidad supera la ficción y con un teléfono móvil y un ordenador portátil disponemos de la tecnología suficiente para realizar todo el trabajo de James Bond.

Hace unos días se publicada en Hijos digitales un artículo sobre el uso de la cámara de tu móvil desde un ordenador, el software empleado Remote Web Desktop.

La verdad es que en principio este tipo de software en mi opinión no tiene muchas aplicaciones prácticas, me parece más interesante la posibilidad de controlar el PC desde un móvil.

Olvidando un poco este aspecto y “jugando a los espías” estuvimos probando la aplicación, resaltar el buen trabajo de Hijos Digitales recordando los riesgos que vienen con toda esta tecnología al alcance de cualquier usuario. 

SmartDog Studio es el responsable de este software, que te permite conectarte de forma remota al escritorio de tu terminal móvil.


Una vez descargada la aplicación nos permite acceder a casi todo el contenido del teléfono, además de poder ejecutar comandos de forma remota mediante una Shell, intercambiar contenidos utilizando ftp y distintas funcionalidades como ver los sms del teléfono o encender la cámara del móvil.

Esto debería hacernos reflexionar sobre la seguridad de nuestras cuentas de mail, sobre todo si están asociadas a un teléfono móvil, el dejarse una sesión abierta o guardar las credenciales en un equipo que no sea de confianza puede convertirse en un problema.

La opción de Briged Mode será la que defina si la conexión es de tipo local, dentro de la misma wifi (en nuestra casa por ejemplo) o accederemos al dispositivo móvil mediante web, desde cualquier parte. 

Hay que tener en cuenta que la conexión mediante web utiliza unos servidores que no controlamos y además en la versión gratuita utiliza el protocolo http (sin cifrado, ni autenticación) con el riesgo que ello supone.


Se puede ver en la imagen que tenemos todo el control del dispositivo, hasta se puede ver el nivel de la batería, mensajes, contenido de la tarjeta de memoria, etc.

No me gusto
Es cuanto menos curioso que no se notifica la instalación del software mediante un correo a tu cuenta de mail, además para la conexión solo se solicita tu cuenta, sin ninguna contraseña.

En la fecha de esta publicación hay 4.106 usuarios que descargaron esta aplicación ¿Se podría adivinar el mail de alguno de ellos? ¿Cuántos la tendrán activada en este momento?

En la página de los desarrolladores de la aplicación también podemos encontrar la explicación del error de certificado, indicándonos que ignoremos la advertencia. Dicho lo cual, aunque utilizáramos la versión de pago (con https), estaríamos indefensos ante una suplantación del servidor o un ataque MITM.

El software no entraña más riesgos, dado que el teléfono móvil actúa como un servidor de escritorio remoto, y debe estar activado desde el dispositivo para poder acceder a él.
 
Es muy positivo avisar de los riesgos asociados a los que estamos expuestos, sobre todo los usuarios menos técnicos, derivados de este Boom de las comunicaciones, pero tampoco se debe confundir al lector.

Esta no es una herramienta de Hacking, no es un troyano, no se oculta al sistema operativo para no ser detectada, simplemente es una forma de acceder al escritorio de tu móvil, por supuesto se le puede dar un mal uso, pero recordad que también puede tener consecuencias legales. 

Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario