Un equipo de investigadores del Instituto Politécnico y Universidad Estatal de Virginia, más conocido como Virginia Tech, ha hallado miles de aplicaciones que, aunque seguras de forma independiente, pueden ser utilizadas por otras para extraer información sensible de los smartphones.
Estas parejas están formadas por dos tipos de aplicaciones: las que están programadas específicamente para lanzar ataques y las que, sin intencionalidad por parte de los programadores, permiten a las primeras extraer información y escalar en la jerarquía de privilegios del sistema operativo más usado del mundo.
El estudio evidencia una brecha de seguridad teórica de la que no se tenía evidencia real constatada con aplicaciones disponibles en la Play Store, la tienda de Google.
“Los investigadores sabemos que las aplicaciones pueden cooperar o hablar entre ellas de alguna manera”, dice Gang Wang, profesor del departamento de Ciencias de la Computación. “Lo que muestra el estudio, con hechos, es que el funcionamiento de las aplicaciones en Android, sea o no intencionado, puede comprometer la seguridad de tu teléfono”.
Para hallar evidencias de este problema de seguridad, el equipo diseñó una herramienta llamada DIALDroid para realizar un análisis masivo de intercomunicación entre aplicaciones. Se estudiaron más de 100.000 aplicaciones provenientes de la Play Store y casi 10.000 aplicaciones malware externas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación peligrosa para la privacidad del usuario.
Este fallo se da cuando una aplicación que parece inofensiva, como las que permiten cambiar los tonos de llamada o usar el flash de cámara, trabaja emparejada con una dedicada a enviar información a un servidor web con la localización del teléfono o su agenda de contactos. Curiosamente, Virgina Tech concluye que las aplicaciones con más riesgo de actuar como pasarela suelen ser las menos útiles.
“Las aplicaciones más populares no suelen estar involucradas en esta cooperación, probablemente porque han sido desarrolladas por programadores más experimentados y cautelosos”, dice Wang a EL PAÍS. “Aun así, aplicaciones como PPGpS Lite, Droid 2 CAD o Prayer Times: Azan and Qibla, que tienen entre 10.000 y 500.000 descargas, están involucradas.
Los desarrolladores pueden reducir drásticamente las posibilidades de que sus aplicaciones sean usadas para escalar permisos o extraer información mediante “prácticas de seguridad básicas”, explica el profesor. “Deben tener cuidado con los permisos al emitir información y aplicar restricciones severas al recibirlos”.
Pero Wang cree que el actor principal en esta encrucijada es Google. “Creemos que la plataforma está en la mejor posición para detectar aplicaciones sospechosas, ya que tienen la visión centralizada de todas ellas”, dice. “Además, Google puede actualizar su sistema operativo para restringir los permisos y la comunicación entre aplicaciones. Se puede hacer sin que limite la intercomunicación entre ellas”.
Aun así, Google cuenta con dos grandes problemas a la hora de hacer más seguro su sistema operativo. Por una parte, el usuario puede instalar cualquier aplicación aunque no se haya publicado en la Play Store, incluyendo software pirata con código añadido para extraer información. Por otro lado, las actualizaciones de Android dependen del fabricante y de las operadoras, por lo que muchos dispositivos son actualizados tarde o, en el peor de los casos, nunca.
La excepción son los smartphones que cuentan con Android puro, como los modelos de OnePlus o el Pixel de Google, ya que reciben actualizaciones de seguridad constantemente. O los de Samsung Electronics, el mayor fabricante de teléfonos inteligentes, que reciben una actualización de seguridad mensual en los modelos más populares que no están atados a una operadora.
“La seguridad en las aplicaciones es como el Salvaje Oeste debido a la falta de regulación”, dice Wang. “Esperamos que este estudio sirva para que la industria reconsidere sus prácticas a la hora de desarrollar su software”.