¿Son fiables las apps más populares de Android?

Según NetMarketShare, 71 de cada cien smartphones empleados en el mundo durante el pasado mes de marzo emplean Android. Su rival más cercano, iOS, sumaba 28 de ellos. Dicho de otra manera, la posición de ventaja del sistema operativo de Google para dispositivos es, sencillamente, aplastante. Esto, claro, supone una gran alegría para la tecnológica, pero también tiene una consecuencia lógica y algo menos agradable: ser sometida a un enorme escrutinio, que en ocasiones revela datos que no son precisamente favorables.

Tal es el caso del informe publicado por investigadores de laUniversidad Estatal de Ohio, la Universidad de Nueva York y el Centro Helmholtz de Seguridad de la Información CISPA. Hablamos de un documento que acredita que casi un 8,5% de las apps más populares de Android tienen una puerta trasera que permite, en determinadas condiciones y circunstancias, que los desarrolladores (o terceras personas que averigüen cómo hacerlo) puedan obtener un acceso no autorizado por sus usuarios a las mismas.

Para llevar a cabo las pruebas, los investigadores han empleado una herramienta denominada INPUTSCOPE, cuya principal función es analizar el comportamiento de las apps cuando se introduce y valida texto en las mismas. Todo con el fin de identificar acciones «anómalas», es decir, que al menos en principio no encajen con el comportamiento que cabría esperar de ellas.

En cuanto a las apps probadas, es indiscutible que los autores del estudio han sido bastante ambiciosos, ya que se analizaron más de 150.000 aplicaciones de Android, incluidas las 100.000 aplicaciones principales de Google Play, las 20.000 aplicaciones principales de una tienda alternativa, y 30.000 aplicaciones preinstaladas extraídas del firmware de los smartphones de Samsung. Y esta es la primera conclusión que encontramos al leer el estudio:

«Si bien estas aplicaciones tienen una funcionalidad rica y útil que está expuesta públicamente a los usuarios finales, también contienen comportamientos ocultos que no se divulgan, como puertas traseras y listas negras diseñadas para bloquear contenido no deseado. Descubrimos que la validación de entrada en aplicaciones móviles se puede usar para exponer secretos activados por dichas entradas, como puertas traseras y secretos de listas negras, y que la funcionalidad oculta dependiente de entrada está muy extendida en las aplicaciones de Android.»

Seguramente ahora mismo te estarás preguntando por los resultados, ¿verdad? Los expertos detectaron 12.706 aplicaciones (8.47%) que contienen algún tipo de puerta trasera (claves de acceso secretas, contraseñas maestras y comandos secretos que brindan acceso a funciones solo para administradores) y 4.028 aplicaciones (2.69%) que incluyen listas negras secretas, que bloquearían el contenido si incluye palabras clave específicas sujetas a censura por cualquier razón.

La validación de entrada, en principio, lo único que tendría que hacer es chequear que el contenido introducido por el usuario se ajusta a determinadas condiciones. Sin embargo, la entrada de texto es la herramienta más común para interactuar con con una app (tanto en Android como en otras plataformas), por lo que es común emplearla también para acceder a funciones concretas (como las funciones ocultas de administración, por ejemplo). El problema no es tanto que esto funcione así, como la falta de transparencia de cara a los usuarios.

Y es que, visto lo visto, es muy probable que alguna de las apps que utilizas en tu día a día, y en la que confías para determinadas labores, tenga una puerta de acceso trasera. Y esto nos lleva a un debate que ya lleva años dentro de la comunidad: ¿tiene sentido que los desarrolladores empleen este tipo de funciones? Son dos los argumentos en contra: el primero es la falta de información al respecto al usuario, que desconoce su existencia.

Pero hay un problema todavía peor: aunque el desarrollador no tenga intención de emplear la puerta trasera de manera malintencionada, ¿qué ocurre si algún ciberdelincuente, sea de la manera que sea, llega a tener conocimiento de su existencia? ¿Y si consigue averiguar cómo emplearla? Una llave maestra es una herramienta tan poderosa como peligrosa. Tanto que, en muchas ocasiones, especialmente cuando no se dispone de todos los medios necesarios para custodiarla adecuadamente, lo mejor es no exista.

Una colaboración de Tecnología al Día https://tecn.cubava.cu/

Comparte en las redes sociales

5 comentarios de “¿Son fiables las apps más populares de Android?

    • Trata de ir a la wifi de algun hotel cercano ya que la conexión es a 1MB/s mientras que la de ETECSA es de 256 KB/s lo que hace que en ocaciones se te reinicie

      • la de etcsa, la minima es de 1Mbps la maxima es de 2Mbps en descarga
        lo quees de 256 o 512 es la velocidad de subida me parece, y esto para lo que el quiere no importa

        en un hotel lo qu epuede es tener mas estabilidad

        y que s eprepare que es grnade, si es el sistemna entero unos 3GB, asi que en 1mbps se meteria unas 3 horas al menos

        • Mira que yo he descargado cosas en los parque con wifi y mi velocidad de descarga esta siempre entre 200 y 270 kbps de hay no pasa con laptop o con telefono

          • el movil y la compu te lo da en KiloBytes (BYTES) por segundo

            los equipos de wifietecsa, en la banda de 2.4GHz estan confgurados a 1 MegaBit (BIT) (millon de bits) por segundo (Mbps), que son 125 KiloBytes por segundo (miles de bytes) KB/s,

            en la 5GHz dan 2 Mbps, lo que son 250KB/s

            en otras palabras estas conectado al equipo que esta empleando la banda de los 5GHz, descargando hasta 2 Mbps lo que son hasta 250KB/s (puedes ver un pico de algo mas por asuntos de buffer)

            cosa correcta y tal como esta definido por etecsa

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *