Al menos 50 de las aplicaciones más populares del sistema operativo móvil Android son vulnerables en su seguridad porque en su construcción se reutilizó software que contenía “errores” o “agujeros”, según una investigación del equipo de analistas de Codenomicom. El estudio reveló que más de la mitad de esas 50 aplicaciones envían información personal de los usuarios, sin autorización, a redes de publicidad de terceros, por lo general en texto plano.

El informe, adelantado por el sitio australiano ITnews, refiere a una investigación que esta semana publicará el mismo equipo que en abril pasado descubrió y alertó sobre Heartbleed, la falla de seguridad en el software de cifrado OpenSSL, que puso en peligro a cientos de miles de sitios web y servicios de correo electrónico.

Según el estudio, estas 50 aplicaciones –cuyos nombres aún no se hicieron públicos– heredaron vulnerabilidades de seguridad al reutilizar librerías de software libre que contenían errores (bugs).

El jefe de seguridad de Codenomicom, Olli Jarva, explicó que entre el 80 y el 90 por ciento del software de las aplicaciones móviles se crea reutilizando librerías, la mayoría de las cuales son de código abierto. Según Jarva, es natural que los programadores no quieran “invertir en reinventar la rueda” con cada aplicación que publican, y por eso usen códigos previamente desarrollados por otros.

Los resultados preliminares señalan que cerca de la mitad de las principales 50 aplicaciones de Android en el mercado les entregan a terceros (en general, redes de publicidad) el “Android ID”, el código de identificación particular asociado a cada dispositivo con ese sistema operativo.

Además, una de cada diez envía el código IMEI –el código alfanumérico único, pregrabado en el móvil, que identifica a cada aparato–, mientras que una de cada siete envía también el número de teléfono del usuario. Por otro lado, más del 30 por ciento de las aplicaciones en estudio transmite los datos en texto plano, sin encriptar, lo que las vuelve aún más inseguras. “Estos procesos son invisibles para los usuarios”, señaló Jarva, y agregó que “pasan muchas cosas detrás de escena, sólo se conocen después de que sucedieron”.

El especialista explicó que, si bien el uso del código abierto debería resultar en un código de mejor calidad debido a la cantidad de desarrolladores que participan de su elaboración, la gran cantidad de agujeros en OpenSSL probó que esto no siempre sucede. “Vemos que los productos finales heredan vulnerabilidades, a veces porque el diseño del software es pobre o porque hay errores lógicos en la implementación, y otras veces esos errores están identificados y emparchados. A veces, como en el caso de Heartbleed, no son identificados en años”, señaló el investigador.

Se refería a que, si bien Heartbleed fue descubierto en abril, el agujero que amenazaba al principal sistema de cifrado de la web estaba vigente desde 2012.

Aunque los investigadores señalaron que muchos de los desarrolladores de estas aplicaciones desconocen las fallas en el código que utilizan para crear el software, también cabe la posibilidad de que actúen de forma intencional. “Algunas personas podrían proveer vulnerabilidades a propósito para hacer cosas desagradables” una vez que el código se reutilizó, sostuvo Jarva, y arriesgó que “los desarrolladores podrían estar ganando sus dólares gracias a las redes de publicidad”.