“Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android”

Mónica Tilves,

Entre ellas se encuentran las redes sociales Facebook e Instagram, el software de mensajería WeChat y el buscador Yahoo Browser.

Check Point ha realizado un análisis sobre tres problemas de ejecución de código arbitrario que se detectaron entre los años 2014 y 2016. Y ha llegado a la conclusión de que siguen causando daño. Ha detectado “patrones conocidos asociados con versiones vulnerables de código abierto descubiertos con anterioridad”.

Así, la compañía de seguridad está alertando sobre la existencia de “antiguas vulnerabilidades críticas” que “siguen vigentes en cientos de aplicaciones Android, entre las que se encuentran algunas tan utilizadas como Facebook, Instagram, Yahoo Browser o WeChat”. A través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones.

Aunque la gente pueda creer que los errores que afectan a un componente del software se solucionan de cuajo con instalar una actualización, los expertos explican que “incluso las vulnerabilidades corregidas desde hace mucho tiempo pueden ser de importancia crítica, ya que el código obsoleto podría reutilizarse incluso en las aplicaciones más populares”.

La descarga y actualización de las últimas versiones es una primera medida de seguridad, “pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel, por lo que es fundamental contar con herramientas de seguridad adicionales que aporten una capa de seguridad extra”, aclara Eusebio Nieva, director técnico de Check Point para España y Portugal.

Si no, vulnerabilidades conocidas pueden afectar de nuevo a los dispositivos porque “una aplicación móvil popular suele utilizar docenas de componentes reutilizables” o “bibliotecas nativas”, que “suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra y corrige una vulnerabilidad en uno de estos proyectos, es complicado tener control sobre las bibliotecas nativas que pueden verse afectadas por dicho fallo de seguridad”, señala Check Point, “o sobre las aplicaciones que utilizan estas bibliotecas nativas. Todo esto hace que una aplicación pueda seguir usando la versión obsoleta del código incluso años después de que se descubra la vulnerabilidad”.

Al final son brechas capaces de persistir también en aplicaciones de publicación reciente en las tiendas oficiales. Aquí hay que recordar el hecho de que Google no obliga a modificar el código de terceros.