6 Errores de seguridad al desarrollar apps para Android

Algo que nos ha enseñado el año 2015 es que las vulnerabilidades de Android siguen ahí. Proteger la privacidad de los usuarios se vuelve cada vez más importante ante las numerosas amenazas de seguridad al desarrollar apps móviles.

Queremos hacer un recopilatorio de los riesgos de seguridad que pueden haber al desarrollar apps para Android. De hecho, este es uno de los sistemas operativos más atacados y vulnerables.

Es precisamente el sistema operativo Android el más utilizado en el mundo (al menos un 80% de dispositivos móviles funcionan con él). Esto le ha convertido en el principal objetivo de hackers y ciberataques.

¿QUIERES CREAR UNA APP? SOLICITA UN PRESUPUESTO ✌️

1. Malware o software malicioso

Según la empresa de seguridad móvil Zimperium, el 95% de dispositivos Android es vulnerable a este tipo de cyberataque. Si hablamos de cifras absolutas, 900.000 dispositivos pueden ser tomados por atacantes sin que el dueño se entere de que se ha producido un ataque.

El principal canal de acceso de estos malwares es la descarga de aplicaciones de origen ajeno a la store de Google, aunque no es la única vía de contagio de malware. Actualmente hay poco más de 75.000 amenazas identificadas de esta índole.

A diario crecen los tipos de malware. En el 79% de los casos, el virus genera un aumento de la factura del teléfono, es decir, que aumentan nuestro consumo, ya sea con envío de mensajes, gasto de datos o llamadas no realizadas por el usuario. Los más comunes en Android según Movisfera son:

Andr/PJApps-C: una app que se ha modificado con una herramienta disponible en Internet. No tienen porque ser maliciosas pero es probable que conlleven alguna acción ilegal.

Andr/BBridge-A: puede instalar apps maliciosas adicionales en los dispositivos Android. Puede escanear SMS y eliminar las advertencias de cobro.

Andr/Generic-S: son unas apps maliciosas que pueden incluir desde exploits de escalada de privilegios hasta programas adware agresivos.

Andr/BatterD-A: se enmascara en una app para ahorrar batería pero su objetivo es enviar información identificable a un servidor y mostrar anuncios en el teléfono.

Andr/DrSheep-A: Este malware permite a los hackers piratear o secuestrar sesiones de Facebook, Twitter o LinkedIn en un entorno de red inalámbrica.

2. Fragmentación de Android

Cuándo hablamos de la fragmentación de Android, nos referimos a que no todos los dispositivos móviles que funcionan el sistema operativo de Google utilizan la misma versión. Algunos no habrán actualizado nunca el SO, mientras que otros estarán siempre a la última. Por no hablar de los dispositivos que no admiten instalar nuevas versiones por falta de espacio.

El caso es que por ejemplo hay casos en los que si el dispositivos no están actualizados siguen siendo vulnerables a los fallos de programación del Sistema Operativo. No tendrán las actualizaciones de seguridad al día. Según, la distribución de versiones de Android a principios de agosto de 2015 es la siguiente:

Lollipop 5.0 y 5.1 : el 18,1% de dispositivos

KitKat 4.4 : el 39,3% de dispositivos

JellyBean (versiones 4.1 a 4.3): el 33,6% de dispositivos

Otras versiones anteriores: el 9% de dispositivos

Fuente: CNet

3. Sistemas operativos personalizados

Otro gran riesgo de los dispositivos Android y que pueden derivar en un fallo de seguridad es la posibilidad de personalizar el sistema operativo. Tanto por parte de las empresas que desarrollan el teléfono como por parte del usuario móvil.

Por ejemplo, en algunos casos, los fabricantes de dispositivos (como pueden ser Samsung, HTC o Huawei) modifican el sistema operativo para incluir su marca en el SO de Android.

Mientras que los propios usuarios puedes modificar también el sistema operativo con capas de personalización o con los denominado launchers. En estos casos el Android se modifica generando huecos en la seguridad porque no prevé estos cambios.

Un ejemplo puede ser el caso de un phishing que cambiaba la configuración de los iconos en la pantalla principal. Éstos accesos directos dejaban de apuntar a las aplicaciones y cambiaron de apariencia.

4. Descargas de apps fuera de la store

Ya apuntábamos a este problema en el primer apartado en el que hablábamos del malware. Ahora nos centramos en las descargas de aplicaciones desde sitios ajenos a la store oficial. Desarrollar apps para Android es sencillo y cualquier desarrollador puede crear una aplicación maliciosa. ¡Ten cuidado!

En ocasiones, los usuarios optan por descargar apps desde webs y sitios no oficiales para no tener que realizar el pago. Esto puede derivar en la app no sea la verdadera, o que haya sido modificada para instalar un virus en tu dispositivo móvil.

5. Filtración de apps maliciosas en la store

Publicar una app Android en Google Play es relativamente sencillo. Además el desarrollo de apps para Android crece como la espuma: Cientos de desarrolladores suben apps a store a diario. Y aunque Google haga lo mejor que puede e intente mantenerla libre de malware, cabe la posibilidad de que se cuelen apps con virus.

Precisamente ese es el motivo por el que la store limpia su market cada cierto tiempo y elimina aplicaciones con malware o maliciosas. El objetivo es retirar aquellas apps que pueden suponer una amenaza o peligro para la privacidad del usuario y la seguridad del dispositivo móvil.

Las aplicaciones ya publicadas que son detectadas como contenedoras de malware son eliminadas por Google de la store. Aunque en estos casos cabe la posibilidad que ya se haya producido alguna descarga.

En los casos en las descargas de la app maliciosa ha sido masivo, y muchos usuarios se han visto afectados, se recurre a desinstalar las aplicaciones infecciosas de manera remota. Es lo que se conoce como kill switch.

6. Software vulnerable

Los puntos débiles en Android pueden encontrarse en muchas partes: desde el propio sistema operativo, en las apps que vienen por defecto en el dispositivo, en las que descargamos, en las herramientas que no son de la plataforma… Un caso muy llamativo fue el fallo de seguridad a nivel mundial Heartbleed, un fallo producido en OpenSSL.

Para resumir diremos que ningún software es infalible. Ni siquiera el gran Google ha conseguido crear un sistema operativo libre de fallos. La buena noticia es que la mayoría de fallos se pueden solventar si lo hacemos todo bien al desarrollar apps para Android, y otra buena parte con un usuario que siga las reglas de la lógica y el sentido común al descargar apps y dar permisos a las aplicaciones móviles.