Un equipo de investigadores ha revelado que ciertas aplicaciones para Android, usadas en conjunto por más de 185 millones de personas, pueden exponer mensajes, correos y credenciales de redes sociales y banca online en el tránsito entre terminales y servidores. El equipo recreó el uso de las aplicaciones en la vida real en una red de area local y usó agujeros de seguridad ya existentes y conocidos para capturar la información sensible.

Según el estudio, las aplicaciones no implementan la encriptación SSL y TLS de manera adecuada, permitiendo a terceros acceder al contenido de las transmisiones mediante el uso de exploits conocidos, algunos de los cuales se pueden encontrar facilmente en la red de redes.

“Pudimos capturar información bancaria, credenciales de pago a traves de Paypal, American Express y otros” escribieron los investigadores de la Universidad Leibniz de Hannover y la Universidad Philipps de Marburg. “Asimismo, se filtraron mensajes y credenciales de e-mail, Facebook y servicios de almacenamiento en la nube, se ganó acceso a cámaras IP y se subvertieron canales de control de aplicaciones y servidores“.

Los investigadores realizaron el estudio descargando 13.500 aplicaciones gratuitas desde Google Play y sometiéndolas a un “análisis estático”. Este test comprobaba si las implementaciones de SSL en las aplicaciones eran vulnerables a exploits man-in-the-middle, identificando 1.074 de ellas que contenian “código SSL específico que aceptaba cualquier certificado o cualquier hostname para un certificado y por tanto es potencialmente vulnerable a ataques MitM”.

Aunque no citan el nombre de ninguna de las aplicaciones, algunos de los ejemplos que presentan son una aplicación antivirus que aceptaba certificados inválidos al establecer la conexión para actualizar la base de datos de firmas de virus, o “un cliente de mensajeria multiplataforma muy popular” con una base de entre 10 y 50 millones de usuarios que expone los números de teléfono de la agenda.

El informe también lista varias maneras en las que se podria mejorar la seguridad en la plataforma Android, además de recomendar a los ingenieros de Google que desarrollen nuevas maneras de visualizar cuando las conexiones de las aplicaciones están encriptadas y cuando no.

Fuente | Ars Technica