Android es fundamentalmente un sistema operativo de código abierto, lo que supone que cualquiera puede contribuir a su desarrollo (los fabricantes pueden integrarlo libremente en sus dispositivos) y que la comunidad de desarrolladores se vuelque programando aplicaciones de las que, a menudo, también liberan el código.

Esto, que en principio es siempre positivo, también da lugar a algunos problemas sobre los que ya han alertado los expertos: cuando los desarrolladores reutilizan código de librerías abiertas en sus ‘apps’, también copian los ‘bugs’ y vulnerabilidades que ese código presenta. Vulnerabilidades que son de sobra conocidas por los atacantes. ¿La consecuencia? Cientos de dispositivos con los mismos problemas de seguridad por una utilización poco cautelosa del código reciclado.

El ejemplo más claro de este problema lo hemos conocido esta semana gracias a un informe de Codenomicon: al menos la mitad de las 50 aplicaciones más populares de Android han heredado vulnerabilidades después de que sus desarrolladores reutilizaran de forma imprudente el código alojado en librerías de ‘software’. aplicaciones para Android Los primeros resultados que se han hecho públicos revelan que las aplicaciones afectadas envían datos personales a diversas redes publicitarias, sin permiso ni conocimiento de los usuarios.

De momento, y según las conclusiones de esta investigación, una de cada diez aplicaciones envía las ID del dispositivo del usuario, datos de localización y el número de teléfono de la persona. También uno de cada diez terminales se encuentra conectado a más de dos redes de anuncios. Los investigadores creen que los desarrolladores de estas ‘apps’ no son conscientes de la existencia de estos agujeros.

Según los autores del informe, entre el 80 y el 90% del ‘software’ para dispositivos móviles se desarrolla a partir de código obtenido de librerías disponibles en código abierto. Y creen que es normal que muchos desarrolladores no quieran invertir tiempo y esfuerzo en rehacer ese código, o en analizarlo debidamente, pero las consecuencias son peligrosas y más que evidentes.

heartbleed Hace varios meses (en abril) se hacía tristemente célebre el ‘bug’ conocido como Heartbleed’, una grave vulnerabilidad que afectaba a uno de los protocolos de cifrado más habituales de la Red. Este agujero afectó a cientos de miles de servidores en Internet (casi dos tercios de las páginas web del mundo), por un fallo en OpenSSL.

Las consecuencias fueron terribles puesto que cualquier persona con suficientes conocimientos podía acceder a los datos más sensibles de cualquiera, almacenados en servidores web considerados hasta entonces seguros.

La mayoría de los servidores afectados corrigieron el ‘bug’, pero algunas de las aplicaciones que han reciclado código antiguo, al parecer, podrían heredar la vulnerabilidad si los desarrolladores no realizan las comprobaciones pertinentes. openssl No es habitual que los desarrolladores investiguen al creador de una librería antes de reutilizar el código en sus aplicaciones. Además, los usuarios finales que encargan el desarrollo de ‘apps’ tampoco son conscientes de que se ha producido esta reutilización y que, por tanto, sus aplicaciones podrían estar involuntariamente conectadas a redes de publicidad y podrían filtrar datos privados.

Las vulnerabilidades podrían estar relacionadas con un diseño pobre del ‘software’, con errores en las implementaciones que se arreglarían fácilmente al identificarlos y parchearlos. El problema, advierten los miembros del equipo, viene cuando los desarrolladores actúan intencionadamente. Esto podría suponer que están recibiendo cuantiosas sumas de dinero por dejar estos agujeros abiertos y permitir que se filtre información privada.

En Panda Security disponemos de un antivirus para Android que permite, a través de un auditor de privacidad, ver qué información utilizan y envían las aplicaciones que tienes instaladas en tu móvil, y que muestra los derechos de acceso de esas aplicaciones.