Somos un par de programadores de apps para móviles a los que nos gusta venir a El lado del mal a leer los artículos y nos hemos decidido hoy a contaros esta historia en la que se puede ver que un cibercriminal, se ha montado un chiringuito con las apps de Android para hacer fraude online y comprarse un chalet un en la playa o donde quiera, por si alguno de vosotros puede avisar a amigos y compañeros de que eviten este problema o por si estáis puesto con este tipo de malware y os apetece investigar un poco más.
|
etiquetas: android , app , fraude , linterna
¿Al final brilla mas o no? La duda me corroe
Por qué digo yo: si sabes programar tanto como para diseñar una app tan retorcida y a través de la lectura de tus sms (que no envíos) puede descifrar el código de seguridad que previamente envía Vodafone para evitar estas estafas y darte de alta él solito etc,...
¿no sería más facil que con todos esos conocimientos profesionales programaran una buena App y la vendieran a 0,89 (y si quieren en iPhone, que los usuarios suelen tener la cartera más floja a la hora de pagar) y crearse buena fama y ganar el mismo dinero o incluso más?
Pero claro, entonces no se podría estafar impunemente a los clientes...
En la Play Store hay más libertad para subir lo que te dé la gana, dando lugar a estas cosas.
¿Entonces a qué espera el gobierno para ilegalizar esos servicios?
Desde luego es un aspecto a tener en cuenta a la hora de elegir un sistema u otro.
1. Escribes tu número de teléfono en una web.
2. Te envían un SMS a dicho teléfono con un PIN para que confirmes la suscripción.
3. Vuelves a la web, escribes dicho PIN y la suscripción queda confirmada.
No hay que "descifrar" nada. La app lo único que hace es automatizar los pasos 1, 2 y 3, lo cual es bastante fácil: los puntos 1 y 3 son básicamente abrir una dirección HTTP, y el punto 2 leer una cadena de caracteres (el sms) y extraer el PIN para su uso en 3.
Pero el dinero lo cobra Vodafone, y es Vodafone quién se lo paga a alguien. Digo yo que podrán preguntar a Vodafone a quién cojones le pagan e interrogar a dicha empresa.
Sí, dicha empresa puede decir que ellos no tienen nada que ver y que ha podido ser cualquiera, pero es como si hacienda te descubre un porrón de dinero negro y declaras que alguien desinteresadamente lo ha dejado anónimamente en tu buzón.
(cc #16)
AndroidAppleEl problema es que hay demasiados intermediarios. Espero que la policía sea capaz de tirar del hilo y dar con el culpable, pero no confío en ello.
PD: He estado mirando y si buscas el nombre de la empresa de servicios premium, Air Ebites S.L., hay quejas desde hace años. Ejemplos:
6 de septiembre de 2010
bandaancha.eu/foros/pura-estafa-1670370
11 de septiembre de 2010
vayasorpresa.blogspot.com.es/2010/09/air-ebites-sl-795522-fraude-por-s
1 de enero de 2012
estafavodafone.blogspot.com.es/2012/01/la-estafa-de-los-sms-premium.ht
31 de octubre de 2012
foro.vodafone.es/t5/Contrato-Facturación/B-63571947-Air-Ebites-S-L/td
Y podría seguir. Lo escandaloso del tema es que la empresa sigue funcionando, estafando dinero y todo de forma completamente legal.
play.google.com/store/apps/details?id=com.recetascupcake&hl=es
play.google.com/store/apps/details?id=com.rutinasyejerciciosparaelGYM&
Hace unos días me contactaron de una red de publicidad ofreciéndome formar parte de ellos con unas condiciones bastante buenas (hola Marc, si me estás leyendo!).
Fui a probarlo en una de mis apps (goo.gl/9pzvz) y cuando vi los permisos.... pedí aclaración del motivo, pero no me convencieron.
Menos mal que noal final no lo tiré adelante.
Aunque viendo el rendimiento, a lo mejor ahora tendría la hipoteca pagada!
No doy la red para no hacer publicidad, pero no era Air Ebites.
Mucho ojo!
Y pulsando en el enlace “Términos y Condiciones” remite a la siguiente URL donde se te avisa del palo que te van a dar como des en Aceptar.
Con esto quiero decir, que aquella persona que acostumbre a leer las condiones de servicio de lo que usa, dudo mucho que haya sido estafada.
No quiero excusar al estafador, al contrario, pero parece que en este país la gente firma de todo sin leer nada. Véase app móviles o contratos con bancos y telecos...
De todas formas, es lo de siempre. No puedes excusar al estafador (ya sé que no quieres hacerlo, pero lo aclaro) porque la gente estafada sea tonta. Es precisamente de eso de lo que se aprovecha el estafador. Y por desgracia hay más "tontos" que "listos".
En este caso: play.google.com/
Cuando veo que una aplicación pide más permisos de los que realmente necesita simplemente no la instalo.
- Por un lado la educación de la gente. Puede ser reconocer una derrota por mi parte, pero no veo a mi madre interpretando si una aplicación para "ver el tiempo" le pide permisos sobredimensionados. Hoy en día todo el mundo tiene un smartphone, la mayoría con Android, y el porcentaje de gente que se fija en estos temas es pequeño.
- Por otro, se incluye la "originalidad" que destaca #3. Incluso a una persona atenta se le podría haber pasado.
No veo descabellado que Google Play aplique una política de aprobación de aplicaciones que implique que un humano verifique qué uso se hace de los permisos o si se considera que son proporcionados o no. No digo ni que deba ser obligatorio, pero podría ser opcional, o hacerse cuando una App supere cierto número de descargas, viralidad...
Pensar que el único problema aquí lo tienen los usuarios es ser muy condescendiente con Google. Y sé que me vais a decir que el servicio de Alta de SMS Premium es inseguro y que se debería legislar al respecto. Estoy totalmente de acuerdo, pero eso sólo soluciona esta casuística concreta y no otras que puedan surgir en un futuro.
Es también una estafa a la propia compañía por sus propios responsables.
El otro día a raiz de un artículo en menéame me instalé Telegram para probar.
El caso es que para instalarlo te pide el movil para enviar un SMS con un código de verificación (eso también lo hace Whatsapp). Recibí el SMS y la aplicación lo leyó automáticamente, así que no tuve que hacer nada para verificarme.
No he recibido SMS premium, pero ya me voy a poner en modo paranoico, y hoy he recibido una petición de Change.org de "Petya Bogdanova Petrova", que no tengo ni idea de donde ha sacado mi mail, y como Telegram viene tambien del Este ..
En fin, que no me gustó lo de la verificación automática, y al leer esto me he puesto malo
La compañía telefónica ( en este caso R ) nos dijo que pidieramos en el banco que devolvieran el recibo. Nos lo volvieron a pasar descontando todo lo facturado por servicios premium y, además, bloquearon el acceso a servicios premium desde la línea concreta. Ya la operadora nos dijo que probablemente fuese por alguna aplicación del market y, dado que obviamente no era un servicio solicitado por mi hermano si no activado contra su voluntad, nos devolvían todo el dinero.
No solo pepephone hace las cosas bien
Y hoy en día, los mensajes de advertencia de permisos están muy masticaditos, de manera que son muy sencillos y fáciles de entender, quizá no como para detectar directamente cosas maliciosas, pero sí como para ver que ahí hay algo raro y pedir ayuda. Especialmente si eres un usuario con muy pocos conocimientos, y que quizá no deberías estar instalándote aplicaciones a lo loco sin asesoramiento. Por la misma regla de tres, alguien que no entienda el diálogo de permisos igual tampoco se da cuenta de que hay cosas de pago, y se acaba gastando 200 eur entre aplicaciones, libros y música. ¿También bloqueamos las compras en la Play Store?
Recuerdo que había profesores que se pensaban que era más curro el necesario para hacerse la microchuleta del examen que estudiar. También estaban equivocados.
Pero realmente me parece peligroso lo de las activaciones automáticas como comenta el artículo. Lo suyo es que te envien un SMS y si estás conforme introduzcas el código de verificación.
Espero que no manden demasiados sms premium.
¿Y que problema hay en poner letras blancas sobre fondo azul? Si al autor le gusta así, es su blog y punto.
Yo al menos prefiero muchísimo más esa estética a la que sigue Apple y quienes copian a Apple.
Si ellos te lo solucionan; ¿Dónde está el problema?
Si no se hicieran cargo y te dijeran "Te jodes" pues harían las cosas mal. Si te devuelven el dinero, no me parece que estén haciendo las cosas mal.
No pido una solución que bloquee nada. De la misma forma que la configuración por defecto no permite instalar software de orígenes desconocidos podría no permitirse instalar aplicaciones no verificadas manualmente, de manera opcional.
Es más, tampoco estoy pidiendo esa solución concreta, sólo digo que a este tema deberían darle una vuelta las cabezas pensantes de Google, que seguro que se les ocurre un solución mejor de la que planteo, tampoco les voy a hacer yo todo el trabajo
En cualquier caso, en su momento era interesante tener los SMS premium activos porque la información de lineas de autobuses de Vigo era por SMS; y si bien eran SMS de 15 centimos (Y lo más importante, a demanda, y no por suscripción) sin la mensajería premium activa no se podían recibir. Ahora la web ya te ofrece el servicio directamente, bien vía App móvil o bien por otra vía; así que es posible que si vinieran apagados por defecto los hubiera activado por aquellas fechas.
Es algo que aceptamos como valido porque todo el mundo la tiene instalada, pero hay algunas aplicaciones muy populares que piden permiso para todo e instalárselas consiste en un acto de fé, porque si por el sentido común fuese, no me instalaba ni el Angry Birds.
No sé hasta que punto tendrían culpa tanto el timador como el timado. Y esto va a ser algo que tendrán que solucionar (sobre todo desde las operadoras de telefonía que son las que tienen capacidad técnica de restringir llamadas y datos a servicios de pago). Si no, las apps tendrán los días contados.
¿A qué te refieres? Cualquier smartphone lleva una sim... ¿por qué es preocupante instalar apps en smartphones?
En cuanto a dar el número de tarjeta de crédito a Apple o Google, no lo veo más peligroso que darlo en Amazon o en cualquier tienda online. De todas formas, no es el caso de esta app, que se aprovecha de otras formas de cobrar a sus usuarios.
Pues claro que los smartphones son los que llevan sim.
Estas seguro respecto a lo que afirmas sobre dar el número de la tarjeta de crédito?
Replanteatelo.
Sobre lo de dar el número de tarjeta de crédito, lo mismo. ¿Por qué es peor dársela a Google que a Amazon o a El Corte Inglés? No lo acabo de entender...
Así, si es un SMS suelto para registrar como whatsapp, pues le doy permiso para ese y ya está. Si empieza a enviar cosas que no debe, me saltará un aviso para darle permiso.
Igualito, sí. Tú vete dando el número de tu tarjeta en todos los sitios y en todas las apps que te lo pidan sin antes conocer a dónde van a parar tus datos. Y dentro de unos meses nos cuentas.
En el Apple Store a pesar de su mayor control y verificación también se dan estafas de otra índole, sólo hace falta buscar en Google para encontrarlas
Con esto quiero decir que se podrá mejorar la seguridad del Play Store, pero hacerla infalible contra el timo, creo que es imposible. Además yo prefiero la libertad de poder instalar una aplicación incluso aunque no esté en la Play Store, sabiendo que antes de hacerlo siempre hay que valorar el riesgo que se corre con ello.
www.infocif.es/cargos-administrador/air-ebites-sl
Si pinchas en el administrador salen 13 empresas.
Relacionada con el tipo:
www.meneame.net/story/11866-numero-no-debes-llamar-jamas
Vamos, que tiene un buen carrerón. Que me expliquen que hay que hacer para que tipos como este no puedan tener una empresa a su nombre.
Añadir eventos a partir de la app aún se puede entender aunque tampoco deberían. Pero por lo demás, ¿en serio les permiten hacerlo? ¿O tiene alguna explicación más técnica?
Ehm, creo que no sabes cómo funciona la App Store o Google Play. Tú no das el número de tarjeta a ninguna app. Tú se lo das a Apple o Google y si descargas una app de pago o haces una compra in-app, lo haces a través de Apple/Google, que de hecho se llevan una comisión de la transacción. La app en ningún momento tiene acceso a tus datos de pago.
play.google.com/store/apps/details?id=com.teslacoilsw.flashlight
Un control más estricto de lo que entra en la Play Store no está reñido con no poder instalar cosas de otras fuentes. Yo preferiría que en la tienda oficial de Android sólo hubiera aplicaciones verificadas por Google (en vez de estar sospechando de cada app en la tienda oficial) y ya, fuera de ese lugar, sea responsabilidad de cada uno instalarse lo que le dé la gana. Pero no como ahora que todo es jungla.
#82 Porque Google es un intermediario, una distribuidora. Los permisos los indica el desarrollador, y forman parte del acuerdo entre tú y él para utilizar su aplicación. Si no estás de acuerdo con los permisos, no la uses, es así de sencillo.
Lo cual no quita que efectivamente haya muchas estafas relacionadas con los servicios SMS Premium y que debería estar mejor controlado.
#86 La gran mayoría de aplicaciones gratuitas te van a pedir acceso a internet, por la sencilla razón de que tienen banners de publicidad para intentar rentabilizar un poco el trabajo. Yo mismo tengo una, un jueguecillo tipo Quiz. La app funciona perfectamente si cortas los datos, pero la publicidad no se ve.
Como está comprobado que el usuario medio está demasiado aborregado como para leer los permisos que concede a las aplicaciones que instala, Google debería verificar una a una cada una de las aplicaciones que hagan uso de permisos sensibles, antes de publicarlas en Play.