Errores en 12.700 aplicaciones populares de Android exponen contraseñas codificadas, menús ocultos y puertas traseras de seguridad, según un nuevo estudio
Sin aplicaciones móviles, su dispositivo inteligente no es más que un teléfono costoso con una gran pantalla táctil y una terrible duración de la batería. Usamos aplicaciones móviles para todo tipo de propósitos, y seguimos encontrando nuevas que nos ayudan a superar nuestro día de trabajo o nos mantienen entretenidos una vez que termina. Es fácil olvidar que estas aplicaciones son creadas por seres humanos reales que cometen errores. Un trabajo de investigación reciente muestra cuán frecuentes pueden ser estos errores.
Table of Contents
El experimento
El problema con los errores de software es que a menudo son difíciles de localizar. La investigación a gran escala no es realmente factible si los expertos necesitan invertir manualmente las aplicaciones de ingeniería una por una, por eso, un equipo de investigadores de la Universidad Estatal de Ohio, la Universidad de Nueva York y el Centro de Seguridad de la Información CISPA Helmholtz desarrollaron una herramienta automatizada llamada InputScope, que utilizaron para analizar un total de 150 mil aplicaciones de Android. InputScope está diseñado para encontrar automáticamente errores en el código de las aplicaciones, y los expertos estaban interesados en errores de alto impacto, razón por la cual tomaron algunas de las aplicaciones de Android más populares.
Clasificaron las aplicaciones según el número de instalaciones y tomaron las 100 mil aplicaciones gratuitas más importantes de Google Play, y las 20 mil aplicaciones gratuitas más importantes de Baidu Market. También incluyeron un total de 30 mil versiones de aplicaciones preinstaladas en dispositivos móviles Samsung.
Debería ser bastante obvio que encontrar todos los errores en 150 mil aplicaciones móviles no es realmente posible. Los expertos se centraron en los errores en los que ciertas entradas del usuario darían lugar a un comportamiento inesperado o indocumentado.
Los resultados
Se encontraron la friolera de 12.706 solicitudes que se ajustan a este proyecto de ley, y el equipo de investigadores evaluó la situación como "preocupante". Esto no es sorprendente. No olvidemos que estamos hablando de aplicaciones utilizadas por millones de personas. Cerca de uno de cada diez de ellos viene con un error que, como veremos en un minuto, podría ser bastante serio a veces.
Además, aunque el experimento se centró en las aplicaciones de Android, algunos de los sujetos de prueba comparten su base de código con sus equivalentes de iOS, lo que significa que aún más usuarios podrían verse afectados.
Las consecuencias
La naturaleza del comportamiento inesperado que demostraron las aplicaciones fue casi tan variada como la naturaleza de las aplicaciones mismas. InputScope encontró bastantes contraseñas codificadas y claves secretas en muchas aplicaciones que desbloquean varios recursos ocultos.
En algunos casos, abrirían por error los menús de depuración que se transfirieron desde las etapas de desarrollo a la aplicación de producción. Algunas aplicaciones vendrían con secretos codificados que desbloquean funciones premium o eliminan anuncios. Más preocupante aún, las claves secretas integradas en cerca de 7 mil de las aplicaciones darían a los atacantes acceso a datos personales, que los expertos clasifican como comportamiento de puerta trasera.
Este es un problema grave, pero desafortunadamente, no se manejó tan bien como debería. Los investigadores contactaron a los desarrolladores de todas las aplicaciones afectadas, pero desafortunadamente, algunas de ellas no respondieron. No debemos olvidar que estamos hablando de miles de líneas de código. Los errores son inevitables y, lamentablemente, a veces, las consecuencias son graves. La parte triste es que a menudo, hay poco que puedas hacer para protegerte. Dicho esto, si tiene más cuidado con lo que instala en su teléfono, es más probable que evite las aplicaciones con errores.
