Algunas aplicaciones para teléfonos móviles pueden contener comportamientos ocultos que los usuarios nunca ven

Un equipo de investigadores en materia de seguridad cibernética ha descubierto que un gran número de aplicaciones para teléfonos celulares contienen secretos codificados que permiten a otros acceder a datos privados o bloquear el contenido proporcionado por los usuarios.

Los hallazgos del estudio: que las aplicaciones en los teléfonos móviles podrían tener comportamientos ocultos o dañinos sobre los cuales los usuarios finales saben poco o nada, dijo Zhiqiang Lin, profesor asociado de ciencias de la computación e ingeniería en la Universidad Estatal de Ohio y autor principal del estudio.

El estudio ha sido aceptado para su publicación por el Simposio de Seguridad y Privacidad de la IEEE en mayo de 2020. La conferencia se ha puesto en línea debido al brote del coronavirus global (COVID-19).

Típicamente, las aplicaciones móviles se relacionan con los usuarios procesando y respondiendo a las entradas del usuario, dijo Lin. Por ejemplo, los usuarios a menudo necesitan escribir ciertas palabras u oraciones, o hacer clic en botones y pantallas de diapositivas. Esas entradas hacen que una aplicación realice diferentes acciones.

Para este estudio, el equipo de investigación evaluó 150.000 aplicaciones. Seleccionaron los 100.000 primeros en base al número de descargas de la tienda de Google Play, los 20.000 primeros de un mercado alternativo y 30.000 de aplicaciones preinstaladas en teléfonos inteligentes Android.

Encontraron que 12.706 de esas aplicaciones, alrededor del 8,5 por ciento, contenían algo que el equipo de investigación denominó “secretos de puerta trasera”, es decir, conductas ocultas dentro de la aplicación que aceptan ciertos tipos de contenido para desencadenar conductas desconocidas para los usuarios habituales. También descubrieron que algunas aplicaciones tienen incorporadas “contraseñas maestras”, que permiten a cualquiera con esa contraseña acceder a la aplicación y a cualquier dato privado que contenga. Y encontraron que algunas aplicaciones tenían claves de acceso secretas que podían activar opciones ocultas, incluyendo la evasión de pagos.

“Tanto los usuarios como los desarrolladores están en riesgo si un malo ha obtenido estos ‘secretos de la puerta trasera’”, dijo Lin. De hecho, dijo, los atacantes motivados podrían hacer ingeniería inversa de las aplicaciones móviles para descubrirlas.

Qingchuan Zhao, asistente de investigación graduado en la Estatal de Ohio y autor principal de este estudio, dijo que los desarrolladores a menudo asumen erróneamente que la ingeniería inversa de sus aplicaciones no es una amenaza legítima.

“Una razón clave por la que las aplicaciones móviles contienen estos ‘secretos de la puerta trasera’ es porque los desarrolladores perdieron la confianza”, dijo Zhao. Para asegurar realmente sus aplicaciones, dijo, los desarrolladores necesitan realizar validaciones de entrada de usuario relevantes para la seguridad y publicar sus secretos en los servidores de respaldo.

El equipo también encontró otras 4.028 aplicaciones -alrededor del 2,7%- que bloqueaban el contenido que contenía palabras clave específicas sujetas a censura, ciberacoso o discriminación. Que las aplicaciones pudieran limitar ciertos tipos de contenido no era sorprendente, pero la forma en que lo hacían era: validado localmente en lugar de remotamente, dijo Lin.

“En muchas plataformas, el contenido generado por el usuario puede ser moderado o filtrado antes de ser publicado”, dijo, señalando que varios sitios de medios de comunicación social, incluidos Facebook, Instagram y Tumblr, ya limitan el contenido que los usuarios pueden publicar en esas plataformas.

“Lamentablemente, podrían existir problemas, por ejemplo, los usuarios saben que ciertas palabras están prohibidas en la política de una plataforma, pero desconocen los ejemplos de palabras que se consideran prohibidas y que podrían dar lugar a que se bloqueen contenidos sin el conocimiento de los usuarios”, dijo. “Por lo tanto, los usuarios finales tal vez deseen aclarar las vagas políticas de contenido de la plataforma viendo ejemplos de palabras prohibidas”.

Además, dijo, los investigadores que estudian la censura tal vez deseen comprender qué términos se consideran sensibles. El equipo desarrolló una herramienta de código abierto, llamada InputScope, para ayudar a los desarrolladores a comprender los puntos débiles de sus aplicaciones y demostrar que el proceso de ingeniería inversa puede ser totalmente automatizado.