Los investigadores de Check Point han descubierto que antiguas vulnerabilidades de seguridad siguen vigentes en cientos de aplicaciones Android, entre las que se encuentran algunas tan utilizadas como Facebook, Instagram, Yahoo Browser o WeChat. Estos fallos pueden permitir a los ciberatacantes robar una gran cantidad de información relacionadas con estas apps y obtener los permisos de Android a los que la aplicación tiene acceso, como la ubicación del usuario o incluso leer conversaciones.

La compañía ha analizado una muestra de tres vulnerabilidades de Ejecución de Código Arbitrario descubiertas entre 2014 y 2016, con el objetivo de demostrar que este tipo de brechas de seguridad ya conocidas pueden persistir incluso en aplicaciones publicadas recientemente en Google Play. A través de este análisis, los investigadores de la compañía han encontrado patrones conocidos asociados con versiones vulnerables de código abierto descubiertos con anterioridad.

La mayoría de los usuarios de teléfonos móviles muestran una gran preocupación por las vulnerabilidades conocidas en el sistema operativo de sus dispositivos, las cuáles podrían permitir a un cibercriminal obtener un control total sobre el smartphone.

En este sentido, la percepción común empuja a creer que las vulnerabilidades que se encuentran en un determinado componente se solucionan de forma inmediata con tan sólo instalar las últimas actualizaciones del sistema operativo y de todas las aplicaciones.

Sin embargo, la investigación llevada a cabo por los investigadores de Check Point pone de manifiesto el hecho de que incluso las vulnerabilidades corregidas desde hace mucho tiempo pueden ser de importancia crítica, ya que el código obsoleto podría reutilizarse incluso en las aplicaciones más populares.

Componentes reutilizables

Una aplicación suele utilizar docenas de componentes reutilizables. Estos componentes, también conocidos como bibliotecas nativas, suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra y corrige una vulnerabilidad en uno de estos proyectos, es complicado tener control sobre las bibliotecas nativas que pueden verse afectadas por ese fallo de seguridad, o sobre las aplicaciones que utilizan esos componentes reutilizables. Todo esto hace que una aplicación pueda seguir usando la versión obsoleta del código incluso años después de que se descubra la vulnerabilidad.

La investigación llevada a cabo por Check Point demuestra el hecho de que estos fallos de seguridad en el código hacen que cientos de aplicaciones sean potencialmente vulnerables a la ejecución remota de código. Por tanto, hay cientos de aplicaciones en Google Play que pueden compartir este mismo error y, por tanto, ser vulnerables frente a fallos de seguridad del pasado.

En la actualidad Google sólo ofrece a los desarrolladores la oportunidad de actualizar aplicaciones, pero no obliga a modificar el código de terceros, lo que supone un grave riesgo para la seguridad de los usuarios según  Check Point.

Conscientes de esta situación, desde Check Point (que ha informado tanto a las aplicaciones como a Google) señalan que es fundamental que los usuarios sepan cómo pueden garantizar la seguridad de sus smartphones y los datos que estos dispositivos almacenan. En este sentido, desde la compañía señalan que mantener actualizado el software del dispositivo y contar con la última versión disponible de todas las aplicaciones es una primera medida de seguridad.

Sin embargo, como se desprende de la investigación de la compañía, las actualizaciones a nuevas versiones no son siempre garantía de seguridad, ya que en ocasiones es posible que no incorporen todas las correcciones de seguridad necesarias.

Eusebio Nieva, director técnico de Check Point para España y Portugal, señala que “a pesar de que las tiendas de aplicaciones móviles y los desarrolladores analizan de forma proactiva estos programas en busca de patrones de malware, por lo general dedican menos atención a aquellas vulnerabilidades críticas conocidas desde hace tiempo». «En este sentido, actualizar las aplicaciones es una medida de seguridad primaria, pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel, por lo que es fundamental contar con herramientas de seguridad adicionales que aporten una capa de seguridad extra”, destaca.