Muchas aplicaciones móviles usan intencionalmente Insecure …



Un nuevo análisis de las aplicaciones de iOS y Android lanzadas a las tiendas de aplicaciones de Apple y Google durante los últimos cinco años encontró que muchas rompían deliberadamente las protecciones HTTPS.

Muchos desarrolladores de aplicaciones móviles deshabilitan deliberadamente las protecciones HTTPS seguras cuando envían datos desde el navegador de un usuario al servidor, lo que a menudo deja los datos confidenciales abiertos a la interceptación y el compromiso de los atacantes en el proceso.

Una razón parece ser la de facilitar la entrega de anuncios a través de las aplicaciones, revela un nuevo estudio de Symantec.

Symantec analizó recientemente cientos de miles de aplicaciones móviles iOS y Android lanzadas durante los últimos cinco años en la Application Retail store de Apple y Google Perform. El ejercicio mostró que aproximadamente el 7% de las aplicaciones de iOS y el 3,4% de las aplicaciones de Android rompen intencionalmente el candado verde que indica un canal de comunicación seguro entre el navegador del usuario y el servidor. Symantec descubrió que estas aplicaciones envían datos de forma activa a servidores de pink inseguros y deshabilitan la validación SSL.

Kevin Watkins, investigador principal de seguridad de la División Symantec en Broadcom, que es propietaria del negocio empresarial del proveedor de seguridad, dice que no está del todo claro por qué algunos desarrolladores de aplicaciones están rompiendo intencionalmente las protecciones de cifrado y enviando datos potencialmente privados a través de conexiones SSL inseguras. «Es difícil de decir, pero (es) algo que estamos investigando en lo que respecta a la investigación posterior», dice Watkins. «Encontramos mucho código y clases de corte y pegado (de) por parte de los desarrolladores de aplicaciones, así como orientación de las redes publicitarias para desactivar los bloqueos».

Por ejemplo, algunos kits de desarrollo de software package: incluido el de Google – Exigir explícitamente que las aplicaciones deshabiliten una seguridad de crimson disponible en iOS 9. en adelante llamada Seguridad de transporte de aplicaciones (ATS) que está diseñada para evitar conexiones de crimson inseguras. La propia Apple permite a los desarrolladores justificar la desactivación de ATS por completo para todos o algunos tipos de contenido y servidores específicos si ve las razones de los desarrolladores de aplicaciones para hacerlo. Lo que es possible que los usuarios no sepan es que una vez que un desarrollador puede usar canales inseguros, puede agregar cualquier dato, incluidos los datos privados del usuario, a los datos que se envían a sus servidores, dijo Symantec en un entrada en el blog esta semana.

«La gran (cantidad) de aplicaciones que deshabilitan la seguridad, especialmente para iOS, fue sorprendente», dice Watkins. «En distinct, el ATS de Apple, desarrollado para mejorar la privacidad y la integridad de los datos, fue más o menos ineficaz debido a que se apagó y se le permitió hacerlo mediante el proceso de verificación de la aplicación».

Para el estudio, Symantec analizó las aplicaciones lanzadas a Google y la tienda oficial de aplicaciones móviles de Apple entre 2017 y 2021. El objetivo de la compañía era identificar las aplicaciones que rompen el candado y / o deshabilitan funciones de privacidad como ATS para iOS. Symantec descubrió que durante los últimos cinco años, el volumen de aplicaciones de iOS que exhiben estos comportamientos no ha disminuido. De hecho, más aplicaciones de iOS en 2020 (7,6% o 45,158 de 593,208 aplicaciones) exhibieron un comportamiento peligroso que en cualquier año anterior.

Al mismo tiempo, el volumen de aplicaciones de Android que rompen el candado ha ido disminuyendo año tras año, del 5% de todas las aplicaciones en 2017 al 2,4% en la actualidad. Symantec descubrió que en 2017, un whole de 12,243 de 249,640 aplicaciones de Android eran vulnerables. En lo que va de 2021, se descubrió que aproximadamente 2,376 de 99,170 aplicaciones de Android estaban rompiendo el candado.

Varias categorías
Symantec descubrió que las aplicaciones que rompen el candado abarcan varias categorías. Las aplicaciones de juegos fueron las principales culpables, y muchas de ellas transfirieron una gran cantidad de contenido y datos de medios públicos. Sorprendentemente, las aplicaciones financieras, que a menudo contienen información de identificación individual y datos financieros, representaron la segunda categoría más grande. En un caso, Symantec descubrió que la aplicación iOS de una gran empresa de servicios financieros estaba rompiendo las protecciones HTTPS cuando los usuarios usaban sus credenciales para iniciar sesión en el servicio. El problema se ha solucionado en versiones posteriores de las aplicaciones de iOS del proveedor de servicios financieros, dijo Symantec.

Desafortunadamente para los usuarios, es poco lo que pueden hacer para averiguar si una aplicación de iOS o Android que están usando podría estar rompiendo las protecciones HTTPS, dice Watkins. «La transparencia y visibilidad de una aplicación que rompe activamente el bloqueo SSL, desafortunadamente, no es posible debido a la zona de pruebas y las limitaciones de seguridad aplicadas en el dispositivo Apple y Google», dice. La mejor apuesta para los usuarios, agrega, es usar puntos de acceso seguros y VPN de buena reputación para minimizar las posibilidades de que sus datos sean interceptados cuando se envían en claro a los servidores de un desarrollador de aplicaciones.

La publicación del website de Symantec contiene recomendaciones para los desarrolladores de aplicaciones sobre cómo evitar romper involuntariamente las protecciones HTTPS y SSL. Sin embargo, señala que se puede hacer poco para protegerse contra comunicaciones inseguras en situaciones en las que los desarrolladores eligen intencionalmente romper el bloqueo.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic