Revelan que las apps de Android pueden cooperar entre sí para espiarte
Un equipo de investigadores del Instituto Politécnico y Universidad Estatal de Virginia, más conocido como Virginia Tech, ha hallado miles de aplicaciones que, aunque seguras de forma independiente, pueden ser utilizadas por otras para extraer información sensible de los smartphones.
Estas parejas están formadas por dos tipos de aplicaciones: las que están programadas específicamente para lanzar ataques y las que, sin intencionalidad por parte de los programadores, permiten a las primeras extraer información y escalar en la jerarquía de privilegios del sistema operativo más usado del mundo.
El estudio evidencia una brecha de seguridad teórica de la que no se tenía evidencia real constatada con aplicaciones disponibles en la Play Store, la tienda de Google.
“Los investigadores sabemos que las aplicaciones pueden cooperar o hablar entre ellas de alguna manera”, dice Gang Wang, profesor del departamento de Ciencias de la Computación. “Lo que muestra el estudio, con hechos, es que el funcionamiento de las aplicaciones en Android, sea o no intencionado, puede comprometer la seguridad de tu teléfono”.
Para hallar evidencias de este problema de seguridad, el equipo diseñó una herramienta llamada DIALDroid para realizar un análisis masivo de intercomunicación entre aplicaciones. Se estudiaron más de 100.000 aplicaciones provenientes de la Play Store y casi 10.000 aplicaciones malware externas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación peligrosa para la privacidad del usuario.
Este fallo se da cuando una aplicación que parece inofensiva, como las que permiten cambiar los tonos de llamada o usar el flash de cámara, trabaja emparejada con una dedicada a enviar información a un servidor web con la localización del teléfono o su agenda de contactos. Curiosamente, Virgina Tech concluye que las aplicaciones con más riesgo de actuar como pasarela suelen ser las menos útiles.
“Las aplicaciones más populares no suelen estar involucradas en esta cooperación, probablemente porque han sido desarrolladas por programadores más experimentados y cautelosos”, dice Wang a EL PAÍS. “Aun así, aplicaciones como PPGpS Lite, Droid 2 CAD o Prayer Times: Azan and Qibla, que tienen entre 10.000 y 500.000 descargas, están involucradas.
