Cabecera blog ciberseguridad

Estas son las brechas de seguridad en aplicaciones móviles más habituales en la Play Store y App store

- Ciber 4 All Team

Las brechas de seguridad en aplicaciones móviles se han convertido en un quebradero de cabeza para Google y Apple

Troyanos como Joker, Fleckpe o Autolycos, códigos espía, apps «benignas» en origen que se vuelven maliciosas en una segunda fase… Las brechas de seguridad en aplicaciones móviles no han dejado de crecer en los últimos años

Las brechas de seguridad en aplicaciones móviles se han convertido en algo más que un quebradero de cabeza para Google y Apple. Son una fuente de conflicto permanente a nivel reputacional y operativo por las dificultades para controlar el ingente caudal de apps que habitan la Play Store y la App Store.

Según las últimas estimaciones publicadas, en la tienda de apps de Google se pueden encontrar hoy 3,5 millones de aplicaciones, por 1,8 millones que ofrece la plataforma de Cupertino. La cifra ha alcanzado tal magnitud que se ha convertido en un desafío de seguridad gigantesco incluso para dos de las multinacionales más poderosas del planeta.

¿La consecuencia? Cada mes afloran nuevos casos de brechas de seguridad en aplicaciones móviles que ponen en entredicho la capacidad de la Play Store y la App store de monitorizar el código que los desarrolladores suben a producción.

Apps con más de 1,5 millones de descargas con software espía

A mediados del año pasado, sin ir más lejos, decenas de miles de usuarios en todo el mundo desayunaron con una noticia inquietante: una de las apps que utilizaban a diario para almacenar archivos de forma segura en sus móviles, File Manager, escondía un software espía creado en China.

Los desarrolladores insistían en las condiciones de descarga que su app no recogía ningún dato, pero la realidad era otra. La app enviaba a una red de servidores chinos fotos, audios, archivos de vídeo, información sobre contactos… En ese momento, File Manager y otras apps similares que soportaban ese mismo código malicioso llevaban 1,5 millones de descargas a escala global.

Solo un año antes, los troyanos Joker y Autolycos habían hecho de las suyas desde apps tan comunes como Video Editor Easy, Translate Anywhere o Pro Wallpaper. Los virus incorporados al código de esas apps permitían escalar privilegios en las terminales para exfiltrar datos sensibles o suscribir a los usuarios a servicios prémium. Una operativa muy similar a la de Fleckpe, un troyano de suscripción identificado en numerosas apps, la mayoría relacionadas con editores de vídeo e imagen.

La pregunta, a la vista del escenario actual, parece lógica:

¿Cuáles son las principales brechas de seguridad en aplicaciones móviles tanto en iOS como en Android?

La principal es, con significativa diferencia, la presencia de malware en el código de las apps. Aunque tanto Apple Store como la Play Store han tratado de implementar nuevos controles y herramientas para contener estas prácticas, lo cierto es que los actores hostiles suelen encontrar ángulos para sortear estos esfuerzos.

Estos son algunos de los más comunes:

  • Uso de cifrado. El uso intensivo de cifrado en el código puede dificultar el rastreo de las herramientas automáticas que utilizan las tiendas.
  • Código dinámico. Es frecuente encontrar apps que son benignas en origen pero que incorporan procesos para descargar malware en cuanto se conectan a la Red y se activan.
  • Actualizaciones. Otra de las prácticas para vulnerar la seguridad de las aplicaciones de iOS y Android tiene que ver con las actualizaciones. El examen de las plataformas en la primera carga de la app suele ser más exhaustivo. Los actores hostiles lo saben, por eso con frecuencia la primera versión no incorpora nada anómalo. Es cuando se produce una actualización, aprovechando que la tienda ya confía en esa solución, cuando se registra la carga del malware.

En este sentido, en los últimos años se ha dado el caso de aplicaciones totalmente legítimas que han cambiado de propietario y que se han visto envueltas en episodios muy turbios y brechas de seguridad muy graves. En algunos casos, directamente, el nuevo gestor era una organización relacionada con el cibercrimen.

¿Cómo afectan las brechas de seguridad en aplicaciones a los usuarios?

El impacto digital (y material) de todos esos fallos de seguridad en las apps se sustancia de distintas formas. Las siguientes son tres de las más frecuentes:

Robo de credenciales e información

El uso de código malicioso en las aplicaciones busca con frecuencia escalar privilegios dentro del terminal para acceder a información de toda clase. Incluso a conversaciones privadas, una práctica que alcanzó seguramente su epítome a nivel público con el caso de IRecorder.

Suscripciones en segundo plano

En este caso, un usuario particular puede encontrarse suscrito a páginas y servicios sin su conocimiento porque una app carga un código malicioso que se pagan a través de la factura del operador móvil.

El troyano logra conectarse al servidor de mando y control del terminal para obtener la información y monitoriza todos los procesos de suscripción, incluido el acceso a los códigos de confirmación de las notificaciones que son las que autorizan el alta.

La publicidad, un jugoso negocio

Con frecuencia, el malware colocado en las apps busca cargar anuncios sin control incluso cuando la pantalla del móvil está en descanso. Ese adware en segundo plano ejecutado de forma recurrente en miles de terminales permite a los actores hostiles embolsarse jugosas cantidades de dinero.

Entre las brechas de seguridad en aplicaciones móviles más extendidas destaca la presencia de malware

El caso de Goldoson es muy singular por cuanto se trataba de una librería de software de terceros que los desarrolladores de apps utilizaban con frecuencia.

¿Qué medidas puede tomar un usuario para protegerse de las brechas de seguridad en las aplicaciones móviles ya instaladas?

Tanto Google como Apple han publicado algunas guías que ofrecen a los usuarios recomendaciones y buenas prácticas para evitar estos incidentes. Estos son algunos de los consejos:

  • Utilizar un antivirus en el móvil. Hay múltiples soluciones en el mercado.
  • Mantener el sistema operativo actualizado. Una parte crítica de cualquier actualización del sistema operativo del móvil (así sea iOS o Android) tiene que ver con mejoras de seguridad y la eliminación de bugs.
  • Descargas en sitios confiables. Organismos como el Incibe desaconsejan vivamente desterrar cualquier carga de una app que no sea de una tienda oficial. Más allá de los problemas descritos, es más probable que la seguridad de las aplicaciones de Android e iOS esté garantizada en su tienda que en ningún otro repositorio por la calidad y densidad de sus herramientas de monitorización.
  • Sentido común. Por analógico que parezca, usar el sentido común al analizar cualquier descarga que se realiza en el móvil puede resultar de enorme utilidad.

¿Qué herramientas y métodos se utilizan para identificar y mitigar las brechas de seguridad en aplicaciones móviles antes de su publicación?

En los últimos años, y a raíz de los escándalos relacionados con la seguridad de las apps, a la abreviatura SDLC (el acrónimo en inglés para aludir al Ciclo de Vida de Desarrollo de Software) se le ha añadido una S más. En un escenario de desarrollo óptimo, el diseño y desarrollo de una app debería ser ahora SSDLC, con una S extra para aludir a la seguridad.

La idea es que el equipo de desarrollo sea muy escrupuloso en la revisión del código antes de saltar a producción. Herramientas de tipo SAST como Checkmarx pueden ser muy útiles en ese proceso de inspección.

En este sentido, nunca está de más formar a los programadores en la creación de código seguro. Plataformas como Secure Code Warrior pueden ayudar en esa senda.

Una vez culminado ese proceso, lo óptimo sería llevar a cabo un pentest. En ese caso, no para monitorizar el código, sino para analizar la lógica del negocio al usar la app, sus flujos de información… Es ahí donde podrían aflorar eventuales vulnerabilidades que puedan echar por tierra el éxito de una app por una crisis de seguridad.

Tanto Apple como Google han implementado programas de bug bounty para incentivar a los hunters a encontrar brechas de seguridad en las apps y, así, mejorar la seguridad de sus tiendas.

En la misma línea, en Tarlogic Security contamos con un equipo altamente especializado para ayudar a las empresas de desarrollo a realizar auditorías de seguridad de aplicaciones móviles. Un paso singularmente útil para garantizar que la app tenga un mayor y mejor recorrido en los mercados.