Ya tuvimos ayer un pequeño recordatorio de que la seguridad en Android suele estar mucho más en entredicho de lo que nos llegamos a imaginar: Instagram y su aplicación para Android que no parece utilizar en ningún momento métodos seguros para establecer conexiones entre usuario y servidor. Por desgracia nos toca volver a hablar de ello, dado que tenemos entre manos dos problemas de seguridad algo preocupantes a los que deberíamos de prestar atención.
La mayoría de las vulnerabilidades vienen de reciclar código
Vale, eso de reciclar es completamente normal: ¿por que va a reinventar la rueda un desarrollador cuando ya existen métodos muy buenos para hacer lo que quiere, y encima libres? Quizás el único problema que tiene esto es que estamos hablando de repositorios antiguos o desactualizados que contienen vulnerabilidades, o que incluso tienen introducidos fallos de seguridad para ser aprovechados más adelante. Y entre un 80 y un 90% de las aplicaciones utilizan este recurso para funcionar y salir adelante, lo cual hace el problema considerable.
En teoría, al utilizar software libre estaríamos utilizando código de mayor calidad, pero ya pudimos ver como en el famoso bug del SSL que fuera libre no ayudó demasiado a que se tardara dos años en descubrir. A veces esos bugs se descubren y se saca un parche que lo arregla, pero otras tantas veces siguen ahí a la espera de que alguien lo explote. E incluso están colocados ahí por el desarrollador en algunas ocasiones con el propósito de jugar fuera de los límites.
Podemos leer sobre este problema en itnews de la mano de los mismos que revelaron Heartbleed a la opinión pública: la mitad de las aplicaciones del top 50 envían datos del dispositivo a anunciantes, y muchas de ellas se pasan enviando datos como nuestro número de teléfono o lo hacen directamente en plano, lo cual revela un fallo de privacidad que podría aprovechar un atacante para hacerse con nuestros datos.
Aplicaciones que pasan más allá de los permisos
Por otra parte, los chicos de Bluebox Security han descubierto un bug que lleva existente desde 2010 y que todavía esta enterrado entre las líneas de código del sistema. Básicamente, lo que hace la aplicación es hacer pasar sus certificados por otros, para tener acceso a determinadas partes del sistema que se salen del sandbox y que normalmente no suelen estar al alcance de las aplicaciones. Y esto es posible porque Android no comprueba los certificados, en resumen y como podéis ver en la diapositiva.
Por ejemplo, aplicaciones como las de Google Wallet o Adobe Flash tienen permiso explícito para salirse de la caja: ya sea para utilizar el hardware del NFC que permite realizar pagos o para actuar como plugin en cualquier apartado del Android. El problema viene cuando una aplicación malintencionada se hace pasar por una de ellas y consigue acceso a partes del sistema sensibles. Podéis leer la información sobre el problema en Ars Technica. Y esto es un fallo que, aunque se haya tratado de paliar Google con 4.4 KitKat y el control de aplicaciones en Play Store, todavía sigue presente.
¿Por que deberíamos preocuparnos?
La sensación que suelo tener como usuario avanzado de Android es que, aunque en los comentarios de decenas de blogs se pida una solución urgente y se caguen en las madres de los desarrolladores, en la práctica todo esto pasa desapercibido y existe una sensación de seguridad generalizada, el típico esto no me va a pasar a mi que cuando sí que nos pasa lloramos. Pero ojo, esto no sólo con Android, sino con cualquier cosa en lo que tenga que ver la tecnología y la privacidad.
Un servidor opina que deberíamos de hacernos un poquito más responsables con nuestra seguridad y nuestro Android: lo que esta claro es que existen unos cuantos peligros como desarrolladores malintencionados o empresas que van a la caza de nuestros datos, pero si nosotros no somos los que nos protegemos de todas esas amenazas, nadie lo va a hacer por nosotros. Y eso pasa en Android, en iOS, en Windows y en cualquier sistema que tenga interacción con un usuario.
Y con esto no quiero crear ningún tipo de alarma ni que dejemos de utilizar nuestro Android: básicamente lo único que podría pedir es la concienciación de los usuarios que no se dan cuenta de que tienen una herramienta muy potente en su mano cuando manejan un smartphone, ya sea un Nexus, un Nokia Lumia o un iPhone. Sí, muchos lo consideraréis toda una utopía, pero es el único camino posible para poder olvidarnos de todas estas amenazas.
Más información Android Central | Ars Technica