Las aplicaciones más populares de Android están creadas con código vulnerable

La seguridad de esas apps tiene agujeros porque en su construcción se reutilizó software que contenía "errores". Por eso, envían información personal a terceros, según una investigación.


Los resultados preliminares de un estudio del equipo de analistas de Codenomicom revelaron que más de la mitad de esas 50 aplicaciones envían información personal de los usuarios, sin autorización, a redes de publicidad de terceros, por lo general en texto plano.


El informe, adelantado por el sitio australiano ITnews, refiere a una investigación que esta semana publicará el mismo equipo que en abril pasado descubrió y alertó sobre "Heartbleed", la falla de seguridad en el software de cifrado OpenSSL, que puso en peligro a cientos de miles de sitios web y servicios de correo electrónico de todo el mundo.

Según el estudio, estas 50 aplicaciones -cuyos nombres aún no se hicieron públicos- heredaron vulnerabilidades de seguridad al reutilizar librerías de software libre que contenían errores ("bugs").

El jefe de seguridad de Codenomicom, Olli Jarva, explicó que entre el 80 y el 90 por ciento del software de las aplicaciones móviles se crea reutilizando librerías, la mayoría de las cuales son de código abierto.

Según Jarva, es natural que los programadores no quieran "invertir en reinventar la rueda" con cada aplicación que publican, y por eso usen código previamente desarrollados por otros.

Los resultados preliminares señalan que cerca de la mitad de las principales 50 aplicaciones de Android en el mercado le entregan a terceros (en general, redes de publicidad) el "Android ID", el código de identificación particular asociado a cada dispositivo con ese sistema operativo.

Además, una de cada diez envía el código IMEI -el código alfanumérico único, pregrabado en el móvil, que identifica a cada aparato-, mientras que una de cada siete envía también el número de teléfono del usuario.

"Los desarrolladores podrían estar ganando sus dólares gracias a las redes de publicidad."

Por otro lado, más del 30 por ciento de las aplicaciones en estudio transmite los datos en texto plano, sin encriptar, lo que las vuelve aún más inseguras.

"Estos procesos son invisibles para los usuarios", señaló Jarva, y agregó que "pasan muchas cosas detrás de escena, sólo se conocen después de que sucedieron".

El especialista explicó que si bien el uso del código abierto debería resultar en un código de mejor calidad debido a la cantidad de desarrolladores que participan de su elaboración, la gran cantidad de agujeros en OpenSSL probaron que esto no siempre sucede.

"Vemos que los productos finales heredan vulnerabilidades, a veces porque el diseño del software es pobre o porque hay errores lógicos en la implementación, y otras veces esos errores están identificados y emparchados. A veces, como en el caso de Heartbleed, no son identificados en años", señaló el investigador, en declaraciones reproducidas por ITnews.

Se refería a que si bien Heartbleed fue descubierto en abril, el agujero que amenazaba al principal sistema de cifrado de la web estaba vigente desde 2012.

Si bien los investigadores señalaron que muchos de los desarrolladores de estas aplicaciones desconocen las fallas en el código que utilizan para crear el software, también cabe la posibilidad de que actúen de forma intencional.

"Algunas personas podrían proveer vulnerabilidades a propósito para hacer cosas desagradables" una vez que el código se reutilizó, sostuvo Jarva, y arriesgó que "los desarrolladores podrían estar ganando sus dólares gracias a las redes de publicidad".

Una de las soluciones consiste en que los programadores examinen lo suficiente las librerías antes de utilizarlas en sus desarrollos, para asegurarse de que non presentan riesgos.

Pero "la dificultad que enfrentamos está en que la motivación a la hora de hacer apps raramente está puesta en la calidad de la seguridad. Más pruebas suponen más tiempo, y eso significa más costo para el desarrollador y una precio más alto para el producto", explicó el investigador.

Fuente: mdz