Un grupo de investigadores de la Universidad Estatal de Ohio, la Universidad de Nueva York y el Centro Helmholtz de Seguridad de la Información de CISPA, analizó miles de aplicaciones móviles para Android y descubrió comportamientos peligrosos, incluyendo puertas traseras y listas negras.
Los expertos diseñaron una herramienta, llamada INPUTSCOPE, que les permite inspeccionar las aplicaciones de Android y encontrar cualquier comportamiento sospechoso mediante la detección del contexto de ejecución de la validación de las entradas del usuario y también del contenido involucrado en la validación.
“Encontramos que la validación de entradas en las aplicaciones móviles puede ser utilizada para exponer secretos desencadenados por las entradas, como puertas traseras y secretos de la lista negra, y que la funcionalidad oculta dependiente de las entradas está muy extendida en las aplicaciones para Android”, indicaron los investigadores.
Se analizaron más de 150.000 aplicaciones para Android, incluyendo las 100.000 aplicaciones principales del Google Play oficial, las 20.000 aplicaciones principales de una tienda alternativa y 30.000 aplicaciones preinstaladas extraídas del firmware de los teléfonos inteligentes Samsung.
Se descubrieron 12.706 aplicaciones (8,47%) que contienen algún tipo de puerta trasera (claves de acceso secretas, contraseñas maestras y comandos secretos que dan acceso a funciones de sólo administración), y 4.028 aplicaciones (2,69%) que incluyen secretos de listas negras, que bloquearían el contenido basado en palabras clave específicas sujetas a censura, ciberacoso o discriminación.
“Identificamos primero 114.797 aplicaciones para móviles que contienen una comprobación de equivalencia. Obsérvese que una aplicación puede detectar si una entrada del usuario está vacía con sólo comprobar si la entrada es equivalente a una cadena vacía”, continúa el documento. “Hay 34.958 aplicaciones móviles que realizan estas comprobaciones sólo de vacíos, y por lo tanto las excluimos del análisis posterior. En las 79.839 aplicaciones móviles restantes, INPUTSCOPE identificó 4.028 aplicaciones que contenían secretos de la lista negra y 12.706 aplicaciones que contenían secretos de la puerta trasera. Hay 7.584 aplicaciones con claves de acceso secretas, 501 aplicaciones que incorporan contraseñas maestras, y 6.013 aplicaciones con comandos secretos. Además, estos riesgos de seguridad se mantienen generalmente en todas nuestras fuentes de datos. Específicamente, la prevalencia de secretos de puerta trasera en aplicaciones es de 6,86%, 5,32% y 15,96% en la tienda de Google Play, el mercado alternativo y las aplicaciones preinstaladas, respectivamente, y el porcentaje de aplicaciones que contienen secretos de lista negra en estas tres fuentes de datos es de 1,98%, 4,46% y 3,87%”.
Asimismo, se hallaron claves de acceso que podían utilizarse para acceder a la interfaz de administración de las aplicaciones, y contraseñas maestras, así como comandos secretos, en miles de aplicaciones. Algunos de los comandos descubiertos, podían usarse para activar funciones ocultas.
Los expertos informaron del problema a los equipos de desarrollo de la aplicación después de validar sus descubrimientos manualmente, pero lamentablemente muchos de ellos aún no han solucionado los problemas encontrados.
Con información de: Nanova.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian