(Por El Microsaurio) Te lo dijimos durante años: los preciosos gadgets esos que te traen información, chismes, temperatura y humedad también te traerán ataques. Ahora está sancionado, porque lo dijeron en una presentación de Black Hat.
Apenas salió el OS X con sus chiches de escritorio, este Microsaurio se erizó diciendo: muy bonito, pero a través de esto se puede descargar en la compu lo que se le dé la gana a cualquier atacante. Después, al principiar el 2007, aparecieron los Google Desktop Gadgets y los Yahoo Widgets. Y en marzo de ese año volví a advertir “…miren que no es oro todo lo que reluce…”
Pero claro, ahora que los gadgets son motivo de una conferencia en Black Hat Las Vegas, la prensa norteamericana descubre que ¡Ohhh! ¡Ahhhh! ¡El escritorio lleno de chiches es peligroso! Y sí, seguro… es exactamente de lo que veníamos hablando.
Pero basta de rezongos y autobombo. El tema, que hemos explicado hasta el cansancio, es muuuuuy simple: cualquier pequeña aplicación que está corriendo en tu escritorio, tiene permiso para ejecutarse. Y si vos sos el administrador de la máquina, porque no te hiciste una cuenta de usuarios, entonces esa aplicación está corriendo con los permisos más altos.
Fijate en estos párrafos que saqué de unas declaraciones del conferencista de Black Hat Las Vegas, Tom Stracener, publicadas en InternetNews: “…estábamos investigando el problema, y encontramos algunos gadgets en Google que podían ser utilizados para parasitar las máquinas de los visitantes de determinados websites (…) avisamos a Google, y en cuatro semanas lo habían solucionado…”. También dice en esa nota que ahora Google revisa en búsqueda de malware todos los gadgets creados por desarrolladores externos para correr dentro de aplicaciones de la empresa y dice (prestá atención) “…es muy raro encontrar gadgets que transmitan malware, pero si eso sucede, inmediatamente ponemos en lista negra ese gadget, para que no sea mostrado a los usuarios…”
A ver si te queda claro. Hay dos instancias: si un investigador encuentra una forma de meter malware en un gadget, avisa a Google y la empresa modifica el código de tal manera que el ataque no pueda producirse. O si un especialista, o el personal de seguridad de Google, encuentran un gadget “maligno”, lo bloquean.
En ambos casos hay demora. Probablemente más que en el caso del hallazgo de virus, donde la ventana de ataque es de unos cuatro días. Acá se habla de cuatro semanas. ¿Dejarás de descargar en tu compu cuanta porquería vistosa anda por allí, por favor?