Ya tuvimos ayer un pequeño recordatorio de que la seguridad en Android suele estar mucho más en entredicho de lo que nos llegamos a imaginar: Instagram y su aplicación para Android que no parece utilizar en ningún momento métodos seguros para establecer conexiones entre usuario y servidor. Por desgracia nos toca volver a hablar de ello, dado que tenemos entre manos dos problemas de seguridad algo preocupantes a los que deberíamos de prestar atención.

La mayoría de las vulnerabilidades vienen de reciclar código

code aprendiendo

Vale, eso de reciclar es completamente normal: ¿por que va a reinventar la rueda un desarrollador cuando ya existen métodos muy buenos para hacer lo que quiere, y encima libres? Quizás el único problema que tiene esto es que estamos hablando de repositorios antiguos o desactualizados que contienen vulnerabilidades, o que incluso tienen introducidos fallos de seguridad para ser aprovechados más adelante. Y entre un 80 y un 90% de las aplicaciones utilizan este recurso para funcionar y salir adelante, lo cual hace el problema considerable.

En teoría, al utilizar software libre estaríamos utilizando código de mayor calidad, pero ya pudimos ver como en el famoso bug del SSL que fuera libre no ayudó demasiado a que se tardara dos años en descubrir. A veces esos bugs se descubren y se saca un parche que lo arregla, pero otras tantas veces siguen ahí a la espera de que alguien lo explote. E incluso están colocados ahí por el desarrollador en algunas ocasiones con el propósito de jugar fuera de los límites.

Podemos leer sobre este problema en itnews de la mano de los mismos que revelaron Heartbleed a la opinión pública: la mitad de las aplicaciones del top 50 envían datos del dispositivo a anunciantes, y muchas de ellas se pasan enviando datos como nuestro número de teléfono o lo hacen directamente en plano, lo cual revela un fallo de privacidad que podría aprovechar un atacante para hacerse con nuestros datos.

Aplicaciones que pasan más allá de los permisos

android-fake-id-640x416

Por otra parte, los chicos de Bluebox Security han descubierto un bug que lleva existente desde 2010 y que todavía esta enterrado entre las líneas de código del sistema. Básicamente, lo que hace la aplicación es hacer pasar sus certificados por otros, para tener acceso a determinadas partes del sistema que se salen del sandbox y que normalmente no suelen estar al alcance de las aplicaciones. Y esto es posible porque Android no comprueba los certificados, en resumen y como podéis ver en la diapositiva.

Por ejemplo, aplicaciones como las de Google Wallet o Adobe Flash tienen permiso explícito para salirse de la caja: ya sea para utilizar el hardware del NFC que permite realizar pagos o para actuar como plugin en cualquier apartado del Android. El problema viene cuando una aplicación malintencionada se hace pasar por una de ellas y consigue acceso a partes del sistema sensibles. Podéis leer la información sobre el problema en Ars Technica. Y esto es un fallo que, aunque se haya tratado de paliar Google con 4.4 KitKat y el control de aplicaciones en Play Store, todavía sigue presente.

¿Por que deberíamos preocuparnos?

android-security-threat

La sensación que suelo tener como usuario avanzado de Android es que, aunque en los comentarios de decenas de blogs se pida una solución urgente y se caguen en las madres de los desarrolladores, en la práctica todo esto pasa desapercibido y existe una sensación de seguridad generalizada, el típico esto no me va a pasar a mi que cuando sí que nos pasa lloramos. Pero ojo, esto no sólo con Android, sino con cualquier cosa en lo que tenga que ver la tecnología y la privacidad.

Un servidor opina que deberíamos de hacernos un poquito más responsables con nuestra seguridad y nuestro Android: lo que esta claro es que existen unos cuantos peligros como desarrolladores malintencionados o empresas que van a la caza de nuestros datos, pero si nosotros no somos los que nos protegemos de todas esas amenazas, nadie lo va a hacer por nosotros. Y eso pasa en Android, en iOS, en Windows y en cualquier sistema que tenga interacción con un usuario.

Y con esto no quiero crear ningún tipo de alarma ni que dejemos de utilizar nuestro Android: básicamente lo único que podría pedir es la concienciación de los usuarios que no se dan cuenta de que tienen una herramienta muy potente en su mano cuando manejan un smartphone, ya sea un Nexus, un Nokia Lumia o un iPhone. Sí, muchos lo consideraréis toda una utopía, pero es el único camino posible para poder olvidarnos de todas estas amenazas.

Más información Android Central | Ars Technica

Mostrar comentarios
Vídeos El Androide Libre
Análisis realme Buds Air Neo
Análisis Xiaomi Redmi Note 9 Pro
Análisis realme Watch
11 Novedades de Android 11
Análisis Xiaomi Mi 10 Lite
SPC Jasper, un móvil para personas mayores
Análisis OPPO Find X2 Neo
Las REDES 5G y sus beneficios
2 alternativas para no decir Ok Google
Análisis realme X3 Superzoom
Análisis Samsung Galaxy M31
Análisis OPPO Find X2 Lite
Comparativa OnePlus 8 vs OnePlus 8 Pro
Analizamos el Nest Wifi
Análisis realme 6 Pro

Lo más visto

Google presenta novedades en la Consola para Desarrolladores de Play
Las mejores tiendas para comprar dispositivos Android en España