Más de cuatro millones de aplicaciones de Android están exponiendo los datos de los usuarios en Internet a través de un kit de desarrollo de software de terceros, tal y como han demostrado los hallazgos de Kaspersky Lab. El proveedor de ciberseguridad y antivirus ha dicho que examinó 13 millones de paquetes de Android y descubrió que alrededor de una cuarta parte de ellos transmiten datos no encriptados a través de Internet. Kaspersky Lab, en su informe trimestral, señaló que algunas de las aplicaciones involucradas eran populares, y que muchas de ellas tenían buenas calificaciones y registraban miles de millones de descargas en la tienda de aplicaciones.
“Cuando descargamos aplicaciones populares con buenas calificaciones de tiendas de aplicaciones oficiales, asumimos que son seguras. Esto es parcialmente cierto porque, generalmente, estas aplicaciones se han desarrollado teniendo en cuenta la seguridad y han sido revisadas por el equipo de seguridad de la tienda de aplicaciones. Recientemente, miramos 13 millones de APK y descubrimos que alrededor de una cuarta parte de ellos transmiten datos no encriptados a través de Internet. Algunos de ellos lo hacían porque sus desarrolladores habían cometido un error, pero la mayoría de las aplicaciones populares exponían los datos del usuario debido a los SDK de terceros”.
Nuestras aplicaciones favoritas podrían no ser tan seguras
El estudio mostró que estas aplicaciones recopilaban datos para que pudieran mostrar anuncios relevantes, pero a menudo no protegían los datos cuando los enviaban a sus servidores. Los analistas de Kaspersky señalaron que, en la mayoría de los casos, las aplicaciones exponían el IMEI, IMSI, Android ID, información del dispositivo como fabricante, modelo, resolución de pantalla, versión del sistema y nombre de la aplicación. Han añadido que algunas aplicaciones también estaban exponiendo información personal, principalmente el nombre del cliente, la edad, el sexo, el número de teléfono, la dirección de correo electrónico e incluso sus ingresos.
“Esto fue inesperado, porque la mayoría de las aplicaciones usaban HTTPS para comunicarse con sus servidores. Pero entre las solicitudes HTTPS, hubo solicitudes no cifradas a servidores de terceros. En otra inspección, quedó claro que las aplicaciones estaban exponiendo los datos de los clientes debido a los SDK de terceros, con SDK publicitarios que generalmente son los culpables”, indicó el informe de Kaspersky. “La información transmitida a través de HTTP se envía en texto plano, lo que permite que casi cualquier persona la lea. Además, es probable que haya varios puntos de tránsito en ruta desde la aplicación hasta el servidor de terceros: dispositivos que reciben y almacenan información durante un cierto período de tiempo.
La empresa ha afirmado que era posible que alguien interceptara la información de los usuarios en una conexión Wi-Fi no protegida, que se transmitiría a través de varios dispositivos de red y podría leerse en cualquiera de ellos. Para no ser víctima de estos ataques, Kaspersky advirtió a los usuarios de Android que siempre revisaran los permisos de las aplicaciones, agregando que la mayoría de las aplicaciones no necesitaban acceder a la ubicación de los usuarios y que dicha solicitud no debería ser otorgada.