29 julio, 2014
Android suele ser el principal blanco de críticas de los expertos en seguridad móvil. El sistema operativo, a pesar de haber mejorado notablemente este apartado en sus últimas versiones, sigue conservando errores que, llegado el caso, pueden llegar a desembocar en algo mucho más grave.
Una investigación realizada por la firma Codenomicon -responsables de haber dado a conocer el caso “Heartbleed”- reveló que 25 de las 50 aplicaciones más populares de Android utilizan el mismo código “reciclado”, originario de librerías de terceros open source. Las Apps no fueron reveladas por los investigadores para no comprometer su seguridad.
Si bien esta práctica es muy común (según Codenomicom, entre el 80 y el 90 por ciento de las aplicaciones móviles se crea reutilizando estas librerías), ya que permite a los desarrolladores añadir fácilmente funciones y características de seguridad más avanzadas de manera “estandarizada” y a un costo menor, cualquier potencial bug en ellas puede propagarse con mayor rapidez, ya que se limita a un simple “copiar y pegar”.
“Vemos que los productos finales heredan vulnerabilidades, a veces porque el diseño del software es pobre o porque hay errores lógicos en su implementación, y otras veces esos errores están identificados y emparchados. A veces, como en el caso de Heartbleed, no son identificados en años“, subrayaron los responsables de Codenomicon. Por el lado de los piratas informáticos, el escenario es tentador. El mismo bug que le abre las puertas al núcleo de una aplicación, puede ser hallado en todas aquellas que hayan usado el mismo código. Por lo pronto, se descubrió que las apps apuntadas envían información personal a redes de publicidad de terceros, sin autorización de los usuarios.
Codenomicon presentará su investigación en detalle en la próxima conferencia de Black Hat, a desarrollarse el 6 de agosto próximo. La firma espera llegar a un consenso sobre la manera en la que debe mejorarse el uso de librerías compartidas y como los desarrolladores deben mantener actualizadas y emparchadas sus líneas de código, tanto en las Apps como en plataformas como GitHub.
Fuente: PhoneArena.com, Telam.com