Esas aplicaciones de terceros gratuitas para Android pueden no ser tan seguras como la mayoría de los consumidores piensan.

Un grupo de científicos informáticos demostró que hasta 185 millones de usuarios de Android podrían estar exponiendo información de banca en línea y credenciales de redes sociales junto con contactos y contenido de correo electrónico / IM.

Los investigadores identificaron 41 aplicaciones en Play Market de Google para Ice Cream Sandwich que filtraron información importante a medida que iba del teléfono al servidor final..

Los científicos no identificaron públicamente las aplicaciones infectadas, pero sí dijeron que fueron descargadas de 39.5 millones a 185 millones de veces. Los investigadores culparon a las autoridades de certificación y los sitios web por no ponerse las protecciones adecuadas.

El grupo, formado por científicos informáticos de la Universidad Leibniz de Hannover y la Universidad Philipps de Marburgo de Alemania, presentó sus hallazgos en la conferencia de Seguridad de Comunicaciones y Computadoras de esta semana..

Atacando a android

Los científicos recrearon el uso de la aplicación en una red de área local para probar una serie de ataques conocidos para robar información confidencial.

Los investigadores pudieron romper los protocolos de capas de sockets seguros (SSL) y de seguridad de la capa de transporte (TLS) utilizados por las aplicaciones para proteger la información del usuario. Aunque la tecnología SSL y TLS se considera generalmente segura, se pueden producir infracciones cuando los desarrolladores o los sitios web no toman las medidas adecuadas para proteger a los usuarios..

"Podríamos recopilar información de cuentas bancarias, credenciales de pago para PayPal, American Express y otros", escribieron los investigadores en su documento..

"Además, se filtraron las credenciales y los mensajes de Facebook, correo electrónico y almacenamiento en la nube, se obtuvo acceso a las cámaras IP y se pudieron subvertir los canales de control de aplicaciones y servidores remotos".

Aplicación de Android: el estudio

Los científicos comenzaron a descargar 13,500 aplicaciones gratuitas de Google Play y probaron si su implementación SSL era vulnerable a la explotación.

Los investigadores mostraron curiosidad por saber qué tan bien estas aplicaciones podrían resistir los ataques Man-In-The-Middle (MITM), que se dirigen a la información que se transfiere a través de puntos de acceso público a Wi-Fi y otras redes inseguras..

Después del análisis estático, el equipo descubrió que el 8 por ciento (o 1.074 aplicaciones) contenía un "código específico de SSL que acepta todos los certificados o todos los nombres de host para un certificado y, por lo tanto, son potencialmente vulnerables a los ataques MITM".

Luego, los investigadores seleccionaron 100 de las aplicaciones para auditarlas manualmente conectándolas a una red que usaba un proxy SSL.

Los resultados

En algunos casos, las aplicaciones aceptaron certificados SSL que fueron firmados por los investigadores a pesar de que no eran una autoridad de certificación válida. Otros certificados aceptados autorizaron un nombre de dominio para acceder a los datos del usuario que no eran el sitio al que la aplicación debía acceder.

Los científicos también utilizaron con éxito los ataques SSLstrip, que reemplazaron los protocolos SSL con su propia versión sin cifrar. Algunas aplicaciones también aceptaron certificados firmados por autoridades que ya no eran válidas.

Los ejemplos incluyen una aplicación antivirus que acepta certificados no válidos y le permite al equipo alimentar su propia firma maliciosa. También una aplicación de terceros para un "sitio web 2.0 popular con hasta 1 millón de usuarios" filtró las credenciales de Facebook y Google cuando inició sesión en esos sitios.

Las investigaciones no revelaron qué aplicaciones específicas eran vulnerables, presumiblemente para que las aplicaciones susceptibles no fueran marcadas como objetivos fáciles. En su lugar, utilizaron términos generales como "servicio de mensajería multiplataforma muy popular".

La mayoría de los programas utilizados en el estudio parecían ser aplicaciones gratuitas de terceros en lugar de las versiones oficiales de los sitios y servicios..

Google no tiene la culpa, pero puede hacer mucho para ayudar

El grupo también señaló que ninguna de las aplicaciones fue desarrollada por el gigante de las búsquedas, pero los ingenieros de Google pueden ayudar a que estas aplicaciones sean seguras. Una forma es aclarar a los usuarios cuando la conexión provista por una aplicación está encriptada y cuando no lo está..

El estudio muestra qué tan vulnerables pueden ser los protocolos SSL y TLS cuando los desarrolladores no toman las medidas adecuadas para proteger sus infraestructuras. Dado que SSL y TLS crearon la base de casi toda la seguridad para obtener datos del usuario al servidor, esos ingenieros de software deberían tomar nota.

Los autores señalaron algunos métodos para que los desarrolladores de Android puedan proteger mejor sus aplicaciones. Una forma es la fijación de certificados, lo que hace que sea mucho más difícil para las aplicaciones aceptar certificados falsos.

Pero parece que obtiene lo que paga cuando confía información confidencial con una aplicación de banca de terceros gratuita..

Los usuarios que buscan protegerse pueden someter las aplicaciones al mismo análisis estático que hicieron los científicos al descargar programas nuevos. O es posible que los usuarios interesados ​​deseen abstenerse de transmitir datos personales a través de redes de Wi-Fi públicas y no seguras.

Via Ars Technica, el estudio "Why Eve y Mallory Love Android"