MADRID, 21 (Portaltic/EP)
La empresa de ciberseguridad Check Point ha descubierto que aún continúan vigentes antiguas vulnerabilidades críticas en cientos de aplicaciones de Android como Facebook, Instagram, Yahoo Browser o WeChat, que podrían ser usadas por los ciberdelincuentes para robar la información que sus usuarios tienen almacenada.
Los fallos de seguridad, además de exponer los datos de los usuarios, permiten obtener los permisos de Android a los que la aplicación tiene acceso, como la ubicación del usuario o leer conversaciones, como ha advertido Check Point en un comunicado.
Los investigadores de la compañía han descubierto esta situación al encontrar patrones conocidos asociados con versiones vulnerables de código abierto que ya habían sido descubiertos con anterioridad, en una muestra de tres vulnerabilidades de Ejecución de Código Arbitrario que ya fueron descubiertas y solventadas entre 2014 y 2016.
El análisis demuestra que este tipo de brechas de seguridad ya conocidas pueden mantenerse vigentes con el paso del tiempo en aplicaciones populares para Android, incluso aunque hubieran sido corregidas en su momento, ya que su código obsoleto puede reutilizarse, según han apuntado desde la compañía.
Esto se debe a que una aplicación móvil suele utilizar docenas de componentes reutilizables, también denominados bibliotecas nativas, que suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra una vulnerabilidad en uno de estos proyectos y se corrige, resulta complicado tener el control sobre aquellas bibliotecas nativas que se han visto afectadas por el fallo de seguridad o sobre las aplicaciones que hacen uso de esos componentes.
El director técnico de Check Point para España y Portugal, Eusebio Nieva, ha señalado al respecto que "a pesar de que las tiendas de aplicaciones móviles y los desarrolladores analizan de forma proactiva estos programas en busca de patrones de 'malware', por lo general dedican menos atención a aquellas vulnerabilidades críticas conocidas desde hace tiempo".
"Actualizar las aplicaciones es una medida de seguridad primaria, pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel", como ha apuntado también Nieva.
Además, la compañía ha resaltado que Google no obliga a los desarrolladores a modificar el código de terceros, ofreciéndoles únicamente la actualización de sus aplicaciones cuando se encuentra un fallo de seguridad. Esto supone un grave riesgo para la seguridad de los usuarios, de acuerdo con la compañía.
Check Point ha asegurado que ya le ha comunicado tanto a las aplicaciones como a Google la vigencia de estas antiguas vulnerabilidades críticas en Android.