“Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android”

Check Point ha realizado un análisis sobre tres problemas de ejecución de código arbitrario que se detectaron entre los años 2014 y 2016. Y ha llegado a la conclusión de que siguen causando daño. Ha detectado “patrones conocidos asociados con versiones vulnerables de código abierto descubiertos con anterioridad”.

Así, la compañía de seguridad está alertando sobre la existencia de “antiguas vulnerabilidades críticas” que “siguen vigentes en cientos de aplicaciones Android, entre las que se encuentran algunas tan utilizadas como Facebook, Instagram, Yahoo Browser o WeChat”. A través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones.

Aunque la gente pueda creer que los errores que afectan a un componente del software se solucionan de cuajo con instalar una actualización, los expertos explican que “incluso las vulnerabilidades corregidas desde hace mucho tiempo pueden ser de importancia crítica, ya que el código obsoleto podría reutilizarse incluso en las aplicaciones más populares”.

La descarga y actualización de las últimas versiones es una primera medida de seguridad, “pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel, por lo que es fundamental contar con herramientas de seguridad adicionales que aporten una capa de seguridad extra”, aclara Eusebio Nieva, director técnico de Check Point para España y Portugal.

Si no, vulnerabilidades conocidas pueden afectar de nuevo a los dispositivos porque “una aplicación móvil popular suele utilizar docenas de componentes reutilizables” o “bibliotecas nativas”, que “suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra y corrige una vulnerabilidad en uno de estos proyectos, es complicado tener control sobre las bibliotecas nativas que pueden verse afectadas por dicho fallo de seguridad”, señala Check Point, “o sobre las aplicaciones que utilizan estas bibliotecas nativas. Todo esto hace que una aplicación pueda seguir usando la versión obsoleta del código incluso años después de que se descubra la vulnerabilidad”.

Al final son brechas capaces de persistir también en aplicaciones de publicación reciente en las tiendas oficiales. Aquí hay que recordar el hecho de que Google no obliga a modificar el código de terceros.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Excelia ficha a Josep Bardallo director de Ciberseguridad

La compañía busca ofrecer "soluciones y servicios de primer nivel" que permitan a sus clientes…

12 horas ago

Commvault amplía su marco de criptoagilidad

Anuncia compatibilidad con el algoritmo Hamming Quasi-Cyclic.

13 horas ago

Vodafone España proporcionará acceso mayorista a su red a Silbö Telecom

Silbö Telecom se beneficiará de la cobertura de Vodafone tanto en móvil como en fibra.

13 horas ago

Nextcloud Workspace, la suite ofimática soberana de IONOS y Nextcloud

Pensada para grandes compañías y entidades públicas que tienen altos requisitos de protección de datos,…

14 horas ago

Trend Micro abre su modelo de inteligencia artificial Trend Cybertron

El objetivo es facilitar el acceso sin coste a capacidades avanzadas de ciberseguridad.

15 horas ago

El 57 % de los internautas hace compras online

La gran mayoría recibe paquetes asociados a sus adquisiciones, sobre todo en sus domicilios.

15 horas ago