“Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android”

Check Point ha realizado un análisis sobre tres problemas de ejecución de código arbitrario que se detectaron entre los años 2014 y 2016. Y ha llegado a la conclusión de que siguen causando daño. Ha detectado “patrones conocidos asociados con versiones vulnerables de código abierto descubiertos con anterioridad”.

Así, la compañía de seguridad está alertando sobre la existencia de “antiguas vulnerabilidades críticas” que “siguen vigentes en cientos de aplicaciones Android, entre las que se encuentran algunas tan utilizadas como Facebook, Instagram, Yahoo Browser o WeChat”. A través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones.

Aunque la gente pueda creer que los errores que afectan a un componente del software se solucionan de cuajo con instalar una actualización, los expertos explican que “incluso las vulnerabilidades corregidas desde hace mucho tiempo pueden ser de importancia crítica, ya que el código obsoleto podría reutilizarse incluso en las aplicaciones más populares”.

La descarga y actualización de las últimas versiones es una primera medida de seguridad, “pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel, por lo que es fundamental contar con herramientas de seguridad adicionales que aporten una capa de seguridad extra”, aclara Eusebio Nieva, director técnico de Check Point para España y Portugal.

Si no, vulnerabilidades conocidas pueden afectar de nuevo a los dispositivos porque “una aplicación móvil popular suele utilizar docenas de componentes reutilizables” o “bibliotecas nativas”, que “suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra y corrige una vulnerabilidad en uno de estos proyectos, es complicado tener control sobre las bibliotecas nativas que pueden verse afectadas por dicho fallo de seguridad”, señala Check Point, “o sobre las aplicaciones que utilizan estas bibliotecas nativas. Todo esto hace que una aplicación pueda seguir usando la versión obsoleta del código incluso años después de que se descubra la vulnerabilidad”.

Al final son brechas capaces de persistir también en aplicaciones de publicación reciente en las tiendas oficiales. Aquí hay que recordar el hecho de que Google no obliga a modificar el código de terceros.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Así está cambiando la atención al cliente tras la pandemia

La digitalización reinante lleva a las empresas a aplicar atención centrada en un usuario que…

19 mins ago

Los ataques DDoS (estándar e inteligentes) no dejan de crecer

Durante el tercer trimestre, el número de ataques de denegación de servicio aumentó casi un…

1 hora ago

Stratesys facilitará la toma inteligente de decisiones con la ayuda de Splunk

Aprovechará su plataforma analítica de datos para convertir información en conocimiento y potenciar la resiliencia…

2 horas ago

La mayoría de los empleados españoles no son conscientes de los ciberataques que reciben sus empresas

Aunque un 44 % de las compañías ha sufrido algún ataque durante el último año,…

3 horas ago

Atos y OVHcloud apuestan por la nube soberana

Una alianza entre ambas compañías pondrá en común la iniciativa Atos OneCloud Sovereign Shield y…

4 horas ago

La ciberseguridad tiene que dar un paso adelante

Todavía son pocas las empresas que aprovechan el potencial del análisis de datos, la automatización…

2 días ago