No es secreto que una gran cantidad de apps gratuitas de Android sufren de escasa seguridad. Esto debido a que los desarrolladores de software están dejando claves criptográficas integradas y contraseñas codificadas. Es por ello que el analista de vulnerabilidades de software Will Dormann reveló cómo encontraron serios problemas de seguridad en miles y miles de apps.
Después de probar 1.8 millones de apps, Dormann encontró casi 20.000 contraseñas y claves incorporadas. E incluso al usar un almacenaje de contraseñas, los datos de usuarios aún podían obtenerse por simples crackers de contraseña.
Dormann trabaja en el Centro de Coordinación CERT (CERT/CC). El investigador se centró en las herramientas gratuitas que es probable que más personas estén usando. Descubrió que algunas aplicaciones son mejores para ocultar lo que está sucediendo que otras. Aunque era sorprendentemente común encontrar claves, códigos y contraseñas incorporadas en las apps. Ya sea por pereza o porque así es como funcionan los SDK particulares.
También se descubrió que una herramienta de desarrollo codifica claves de privacidad en las aplicaciones. Aunque esto es algo que se ha abordado en una actualización. La herramienta lleva el nombre “Appinventor”.
Dormann también destacó la pereza de los usuarios al seleccionar las contraseñas, descifrándolas con herramientas simples y de libre acceso. Utilizó las contraseñas de contraseña de fuerza bruta Jack the Ripper. Y también Hashcat para reunir con éxito una gran cantidad de contraseñas de las tiendas clave Java y Bouncy Castle.
Android miente sobre tener las últimas actualizaciones de seguridad
Como si la poca seguridad en apps de Android fuera poco, también se le suma la aparente mentira del SO. Si creías que su teléfono Android estaba parchado con todas las últimas actualizaciones de seguridad, podría ser hora de pensarlo de nuevo.
Un informe de Security Research Labs descubrió que algunos fabricantes de smartphones poseen fallas de seguridad graves. Pues no solo fallaban en la entrega de actualizaciones de seguridad, sino que ocultaban este hecho a los usuarios.
La compañía descubrió que algunos dispositivos sufrieron un «espacio de parche». Por el cual los fabricantes modificaron la fecha informada a Android (y a los usuarios) sobre cuándo se instalaron por última vez las actualizaciones de seguridad. Esto sin instalar ningún parche en absoluto.
Según lo informado por Wired, Security Research Labs probó móviles de grandes empresas, como Samsung y HTC. Así como las de compañías más pequeñas. Aunque se descubrió que el problema era peor con los «fabricantes de nivel más bajo», la notificación incorrecta de las actualizaciones de seguridad también se encontró en teléfonos más costosos y conocidos.
Si bien los representantes de Security Research Labs dicen que era posible que los fabricantes pudieron accidentalmente perder un par de parches. Este no es el caso predominante en el asunto.
«Encontramos varios proveedores que no instalaron un solo parche pero cambiaron la fecha del parche por varios meses. Eso es un engaño deliberado». Una actualización de la app gratuita SnoopSnitch de Security Research Labs hará posible que las personas verifiquen el estado real de las actualizaciones de seguridad en sus móviles.