Los desarrolladores pueden emplear la comunicación entre aplicaciones facilitadas por el sistema operativo para obtener información privada, según un estudio.
Un equipo de investigadores de Virginia Tech ha hallado miles de aplicaciones que, aunque seguras de forma independiente, pueden ser utilizadas por otras para extraer información sensible de los smartphones. Están formadas por dos tipos de aplicaciones: las que están programadas específicamente para lanzar ataques y las que, sin intencionalidad por parte de los programadores, permiten a las primeras extraer información y escalar en la jerarquía de privilegios del sistema operativo más usado del mundo.
Para hallar evidencias de este problema de seguridad, el equipo diseñó una herramienta llamada DIALDroid para realizar un análisis masivo de intercomunicación entre aplicaciones. Se estudiaron más de 100.000 aplicaciones provenientes de la Play Store y casi 10.000 aplicaciones malware Usuarioexternas. La conclusión es preocupante: miles de ellas ofrecen una pasarela de permisos y de comunicación peligrosa para la privacidad del usuario.
Este fallo se da cuando una aplicación que parece inofensiva, como las que permiten cambiar los tonos de llamada o usar el flash de cámara, trabaja emparejada con una dedicada a enviar información a un servidor web con la localización del teléfono o su agenda de contactos. Curiosamente, Virgina Tech concluye que las aplicaciones con más riesgo de actuar como pasarela suelen ser las menos útiles.
Gang Wang, profesor del departamento de Ciencias de la Computación, cree que el actor principal en esta encrucijada es Google, y que la plataforma está en la mejor posición para detectar aplicaciones sospechosas, ya que tienen la visión centralizada de todas ellas. Además, opina que Google puede actualizar su sistema operativo para restringir los permisos y la comunicación entre aplicaciones. Se puede hacer sin que limite la intercomunicación entre ellas.
Aun así, Google cuenta con dos grandes problemas a la hora de hacer más seguro su sistema operativo. Por una parte, el usuario puede instalar cualquier aplicación aunque no se haya publicado en la Play Store, incluyendo software pirata con código añadido para extraer información. Por otro lado, las actualizaciones de Android dependen del fabricante y de las operadoras, por lo que muchos dispositivos son actualizados tarde o, en el peor de los casos, nunca.
La excepción son los smartphones que cuentan con Android puro, como los modelos de OnePlus o el Pixel de Google, ya que reciben actualizaciones de seguridad constantemente. O los de Samsung Electronics, el mayor fabricante de teléfonos inteligentes, que reciben una actualización de seguridad mensual en los modelos más populares que no están atados a una operadora.
