Investigadores de Check Point han descubierto una vulnerabilidad en una de las aplicaciones preinstaladas en los dispositivos de Xiaomi, uno de los mayores proveedores de telefonía móvil del mundo, con casi un 8% de cuota de mercado en 2018. La vulnerabilidad que dejaba expuestos a los usuarios frente a ataques se encuentra en la aplicación de seguridad Guard Provider. Check Point informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada por la compañía china.

La vulnerabilidad se encuentra en el Kit de Desarrollo de Software (Software Development Kit, SDK) de la app, un conjunto de herramientas de programación que ayuda a los desarrolladores a crear aplicaciones para una plataforma específica. En el caso de los teléfonos móviles, los SDK reduce el tiempo de escritura de código y dotan al smartphone de estabilidad para funcionalidades no relacionadas con el núcleo de su aplicación.

Debido a que cada vez se incorporan más códigos a este tipo de aplicaciones, mantener su entorno de producción estable, proteger los datos de los usuarios y controlar el rendimiento se vuelve mucho más complicado. El uso de múltiples SDK dentro de la misma aplicación hace que sea más susceptible a ataques como virus, malware, violación de la privacidad, así como fallos por agotamiento de la batería, ralentización y otros problemas. Es lo que se conoce como «Fatiga del SDK».

El uso de varios SDK en una misma aplicación da como resultado que todos estos software compartan la misma información. Por tanto, si uno de estos programas se ve afectado, la seguridad del resto también se ve comprometida. Además, estos sistemas almacenan información privada pero no de forma independiente, por lo que otros SDK pueden tener acceso a estos datos. Según SafeDK, se utilizan más de 18 programas de este tipo por cada app.

En el caso de Guard Provider, permite a los cibercriminales conectarse a la misma red Wi-Fi que la víctima. De esta forma podrían llevar a cabo un ataque Man-in-the-Middle (MiTM). Esta variante de ataque permite aprovechar las lagunas de comunicación existentes entre los diversos software que configuran la aplicación, dando la posiblidad al atacante de insertar cualquier tipo de código malicioso de robo de contraseñas, ransomware, rastreo del dispositivo, entre otros.

Los smartphones suelen incluir aplicaciones preinstaladas, algunas de las cuales son útiles y otras que nunca se utilizan. Además, muchas de estas herramientas no pueden desinstalarse. Sin embargo, lo que ningún usuario espera es que cualquiera de estas herramientas ya instaladas suponga riesgo alguno para su seguridad y la privacidad de sus datos, y mucho menos si la aplicación en cuestión tiene como función dotar de protección al smartphone.

El personal de seguridad de Tecnología de la Información de una empresa no está obligado a conocer las características de los SDK que se emplean en el desarrollo de las apps que se utilizan en los smartphones, pero sí deben tener en cuenta los riesgos ocultos. Por tanto, la primera medida de seguridad es no dar por hecho que todos los elementos empleados para desarrollar apps son seguros, lo que implica desconfiar también de las herramientas de seguridad preinstaladas en el teléfono.