Un gran número de aplicaciones para teléfonos celulares contienen secretos codificados que permiten a otros acceder a datos privados, según un estudio que puede conducir a nuevas medidas para mejorar la ciberseguridad de los teléfonos inteligentes.
Según el estudio, aceptado para su publicación en el Simposio de Seguridad y Privacidad de 2020 del IEEE, las aplicaciones en teléfonos móviles pueden tener comportamientos ocultos o dañinos sobre los que los usuarios finales saben poco o nada.
Los investigadores, incluido Zhiqiang Lin de la Universidad Estatal de Ohio en EE.UU., dijeron que las aplicaciones móviles generalmente interactúan con los usuarios procesando y respondiendo a las entradas de los usuarios.
Citando ejemplos, dijo Lin, para solicitar una acción en sus teléfonos, los usuarios a menudo necesitan escribir ciertas palabras u oraciones, o hacer clic en botones y deslizar pantallas.
En el estudio, los investigadores evaluaron 150,000 aplicaciones: 1,00,000 según el número de descargas de Google Play store, las 20,000 principales de un mercado alternativo y 30,000 de aplicaciones preinstaladas en teléfonos inteligentes Android.
Encontraron que 12,706 de esas aplicaciones contenían algo que los científicos llamaron «secretos de puerta trasera»: comportamientos ocultos dentro de la aplicación que aceptan ciertos tipos de contenido para desencadenar comportamientos desconocidos para los usuarios habituales.
Los investigadores también descubrieron que algunas aplicaciones tienen «contraseñas maestras» integradas, que permiten que cualquier persona con esa contraseña acceda a la aplicación y a cualquier dato privado contenido en ella.
Y algunas aplicaciones, dijeron, tenían claves de acceso secretas que podían activar opciones ocultas, incluida la omisión del pago.
» Tanto los usuarios como los desarrolladores están en riesgo si un chico malo ha obtenido estos ‘secretos de puerta trasera'», dijo Lin.
Los atacantes motivados podrían realizar ingeniería inversa de las aplicaciones móviles para descubrirlas, agregó.
Los desarrolladores a menudo asumen erróneamente que la ingeniería inversa de sus aplicaciones no es una amenaza legítima, agregó Qingchuan Zhao, otro coautor del estudio de la Universidad Estatal de Ohio.
» Una razón clave por la que las aplicaciones móviles contienen estos ‘secretos de puerta trasera’ es porque los desarrolladores perdieron la confianza», dijo Zhao.
Para asegurar realmente sus aplicaciones, dijo, los desarrolladores deben realizar validaciones de entrada de usuario relevantes para la seguridad y enviar sus secretos a los servidores de backend.Facebook instagram
«En muchas plataformas, el contenido generado por el usuario puede moderarse o filtrarse antes de publicarse», dijo Zhao, y agregó que varios sitios de redes sociales, incluidos Facebook, Instagram y Tumblr, ya limitan el contenido que los usuarios pueden publicar en esas plataformas.
«Desafortunadamente, puede haber problemas for por ejemplo, los usuarios saben que ciertas palabras están prohibidas en la política de una plataforma, pero desconocen ejemplos de palabras que se consideran palabras prohibidas y podrían resultar en el bloqueo de contenido sin el conocimiento de los usuarios», dijo.
» Por lo tanto, es posible que los usuarios finales deseen aclarar las políticas de contenido de la plataforma vagas viendo ejemplos de palabras prohibidas», agregó Zhao.