Aplicaciones populares de Android que ponen en riesgo la privacidad y la seguridad de los consumidores

Una fuga de información puede tener graves consecuencias. Pensemos en el reciente ataque a la cadena de suministro de SolarWinds que se produjo a partir de la exposición de una contraseña interna crítica, e inanamente sencilla (solarwinds123). De este modo, haciendo que los recientes descubrimientos de la Centro de Investigación de Ciberseguridad de Synopsys (CyRC) especialmente preocupante.

El análisis de más de 3.000 aplicaciones móviles populares de Android demostró que la fuga de información es habitual. Contraseñas, credenciales de usuario, direcciones de correo electrónico y tokens son algunos de los datos encontrados. Con esta información, los actores maliciosos pueden acceder a los servidores, sistemas o datos sensibles de alguien y plantar malware o incluso acceder a aplicaciones bancarias.

Además, muchas de estas aplicaciones exigen un uso excesivo de los permisos móviles. De hecho, CyRC encontró una media de 4,5 permisos sensibles por aplicación. Las herramientas para profesores son una de las categorías que más preocupan. De hecho, se encontró que una aplicación con más de un millón de descargas requería 11 permisos que Google clasifica como «Nivel de protección: Peligroso».

El informe también descubrió que la mayoría de las aplicaciones (63%) contenían componentes de código abierto con vulnerabilidades de seguridad conocidas, con una media de 39 vulnerabilidades por aplicación vulnerable. Casi la mitad de ellas (44%) se han identificado como de alto riesgo porque han sido explotadas activamente o están asociadas a pruebas de concepto (PoC) documentadas. Algo menos del cinco por ciento de las vulnerabilidades están asociadas a un exploit o a una prueba de concepto y no tienen una solución disponible. El uno por ciento de las vulnerabilidades se clasifican como vulnerabilidades de ejecución remota de código (RCE), lo que es reconocido por muchos como la clase más grave de vulnerabilidad. El 0,64% están clasificadas como vulnerabilidades RCE y están asociados a un exploit activo o a un exploit PoC.

Los juegos gratuitos más importantes, los juegos más rentables, las aplicaciones bancarias, las aplicaciones de presupuesto, las aplicaciones de pago y los juegos de pago más importantes se encuentran entre las 6 aplicaciones más vulnerables, lo cual es muy preocupante si se tiene en cuenta el enorme aumento de su popularidad durante la pandemia.

Sin embargo, es sorprendente que el 94% de las vulnerabilidades detectadas tengan correcciones documentadas públicamente, lo que significa que hay parches de seguridad o versiones más nuevas y seguras del componente de código abierto disponibles. Además, el 73% de las 3.137 vulnerabilidades únicas detectadas se hicieron públicas por primera vez hace más de dos años, lo que indica que los desarrolladores de aplicaciones simplemente no tienen en cuenta la seguridad de los componentes utilizados para crear sus aplicaciones.

«Como cualquier otro software, las aplicaciones móviles no son inmunes a las debilidades y vulnerabilidades de seguridad que pueden poner en riesgo a los consumidores y a las empresas», compartió Jason Schmitt, director general del Grupo de Integridad del Software de Synopsys. «Hoy en día, la seguridad de las aplicaciones móviles es especialmente importante si se tiene en cuenta cómo la pandemia ha obligado a muchos de nosotros -incluidos los niños, los estudiantes y gran parte de la mano de obra- a adaptarnos a estilos de vida cada vez más dependientes del móvil y a distancia. Con el telón de fondo de estos cambios, este informe subraya la necesidad crítica de que el ecosistema de aplicaciones móviles eleve colectivamente el nivel de desarrollo y mantenimiento de software seguro.»

RECOMENDADO  Datos de la encuesta: Temor por la seguridad del uso de robots en procedimientos médicos.

Para obtener más información, descargue el informe, Peligro en una pandemia: El estado de las pruebas de seguridad de las aplicaciones móviles.