21 octubre 2010

¿Confiamos en las aplicaciones de Cydia?

El gestor de paquetes Cydia es el programa que triunfa entre los usuarios que deciden "liberar" su iPhone o derivados. Desde hace algún tiempo, los métodos para hacer jailbreak al dispositivo instalan por defecto esta aplicación, y gracias a ella se descargan los paquetes adicionales.

El software se instala desde repositorios (Cydia es un gestor de paquetes), y los que vienen por defecto son supuestamente los más fiables. Podríamos diferenciar entre los repositorios privados, donde solo los administradores suben su software, y los públicos donde cualquier usuario puede proponer una aplicación.

Hace poco tuve contacto con uno de estos repositorios 'by default' públicos, y me quedé bastante asombrado por el poquísimo control que se tenía sobre los paquetes que enviaban los usuarios.


La historia es la siguiente: Subí un paquete (.tar, lo recomiendan) de una aplicación que debía ser usada mediante terminal, es decir, no era una aplicación gráfica, por lo que el paquete que ellos generaran debía extraer el ejecutable en un directorio incluido por defecto en el $PATH (/usr/bin por ejemplo). Tardaron solo unas horas en aceptarlo y subir al repositorio el .deb generado por ellos.

De momento todo iba bien, pero cuando descargué el paquete desde Cydia me llevé la sorpresa de que el ejecutable se extraía en la carpeta para las aplicaciones gráficas, y no donde les había especificado. Esto quiere decir que obviaron mis indicaciones, y lo más importante, que probablemente no ejecutaran ni probaran la aplicación en ningún momento. Costó hacer que todo estuviera en su sitio, pero al final se consiguió gracias a algún email y una resubida. Estos emails reafirmaron la teoría de que las aplicaciones no son probadas (al menos la mayoría).

Entonces pensé lo absurdamente fácil que resultaría subir un paquete malicioso y que no saltaran las alarmas hasta que se empezaran a producir infecciones (en caso de virus) o hasta que alguien encontrara un comportamiento extraño en nuestra aplicación.

Si analizamos la situación lo veremos más claro:

Un usuario nuevo, sin referencias, votaciones o algún tipo de puntuación de 'karma' puede subir aplicaciones. Estas aplicaciones probablemente no son probadas, y mucho menos va a ser analizado su comportamiento. Por supuesto no hay que mandar el código fuente de la aplicación (aunque dudo que lo revisaran), y las probabilidades de que analicen la aplicación mediante reversing son practicamente inexistentes.

Con todo esto hay que añadir que la aplicación no era gráfica, por lo que solo está disponible para los que tengan el filtro de Cydia en 'Hackers' o 'Developers' (esto no impidió que se produjeran bastantes descargas). Una aplicación gráfica, y con alguna función interesante (una jarra de cerveza, una granja, etc ...) habría sido mucho más atractiva y habría llegado a mucha más gente.

Ya se sabe que los repositorios de Cydia no son como la AppStore y que el control aquí es mucho menor, pero no pensaba que fuera tan bajo, o mejor dicho, inexistente en este caso.

Aun así, creo que es importante diferenciar entre repositorios, aunque al final todo se basará en el instinto y la preocupación de cada uno.

Y tú, ¿confías en las aplicaciones de los repositorios por defecto de Cydia?

4 comments :

Román Ramírez dijo...

Es una buena pregunta... ¿confías en tu proveedor de telefonía para que no capture todo tu tráfico y lo almacene? ¿confías en que mi buen amigo Yago Jesús no sea un espía soviético durmiente? ¿confías en que las macetas en los balcones están correctamente sujetas?

En el fondo, todo en la vida se basa en medir la percepción de riesgo frente al beneficio y si el valor que estimas justifica asumir el riesgo... pues ya sabes :)

rusty73 dijo...

Apoyo el comentario 1! :P

Anónimo dijo...

Gracias por los comentarios, y muy bien explicado Román.
Realmente en cuanto percibes el riesgo lo pones en una balanza, y en el otro lado las ganancias que puedas tener. Entonces asumes si quieres correr el riesgo y de qué forma.
Una buena reflexión a partir del artículo :)

Juan dijo...

en conclucion es un gran riesgo hacer el jaibreak? ..... Por lo que pude leer en esta pagina y entre otras, todos hablan de las maravillas que se puede hacer con el cydia y muy poco de los peligros, tengo un ipad desde diciembre hasta la fecha y siempre quiero acceder applicaciones de mayor utilidad que estan en apple, pero que no puedes probar hasta comprar la aplicacion.. Ya stoy arto de apple y sus reglas. Te pone limites para todo, simplemente no se puede o tienes que pagar tanto..
Alguien me ayuadar a la breveda posible