Recientemente, publiqué un artículo sobre AppBugs que reclamaba una serie de aplicaciones de Android que, a primera vista, parecían ser poco más que FUD.

Probé mis afirmaciones e investigué un poco contra ellas... pero al final la compañía me llamó la atención porque no creían que todas mis afirmaciones fueran precisas. Cuando recibí esta misiva, me puse en contacto con algunas de las aplicaciones en cuestión por segunda vez. Esta vez, un fabricante de aplicaciones se puso de pie y dijo que las afirmaciones eran correctas y que ahora estaban probando la versión beta del parche contra la vulnerabilidad.

Después de hablar extensamente con uno de los miembros del personal de AppBugs, llegué a algunas conclusiones que quiero compartir.

Índice

FUD

En mi artículo original, argumenté que AppBugs (como tantas otras empresas) estaba haciendo más para difundir FUD que para solucionar el problema en cuestión. Pues resulta que la empresa Acaso en realidad tienen los mejores intereses de Android en mente. De hecho, el caballero con el que hablé (Stan) llegó a decir:

Como empresa, decidimos ayudar a Android a convertirse en una plataforma más segura y dejar de lado el objetivo de ingresos. Brindamos información GRATUITA sobre vulnerabilidades a los usuarios de teléfonos inteligentes, información GRATUITA a los desarrolladores cada vez que encontramos una vulnerabilidad en su aplicación e incluso ofrecemos pautas de reparación para los desarrolladores que no saben cómo solucionar el problema. Hacemos todo esto con el único propósito de ayudar genuinamente a los usuarios y desarrolladores móviles.

Debo decir que, en el mundo de hoy, es refrescante escuchar eso. Y sí, AppBugs brinda información gratuita sobre la vulnerabilidad a los usuarios de teléfonos inteligentes... aunque la información gratuita se limita a indicar únicamente que la aplicación en cuestión es vulnerable, ya que no brinda ningún detalle (a menos que el usuario pague la tarifa de compra en la aplicación por la edición premium). Cuando se le preguntó sobre este tema, mi contacto respondió:

Lo siento si ha habido alguna confusión sobre lo que ofrecemos. Puede ver lo que ofrecemos gratis y lo que cobramos a continuación. Creemos que lo que cobramos es razonable, en función de la cantidad de trabajo que hacemos por él.

¿Qué es gratis?

  • Para los usuarios móviles, la aplicación le dice al usuario qué aplicaciones en su dispositivo tienen vulnerabilidades de seguridad y el estado del parche de vulnerabilidades.
  • Para los desarrolladores de aplicaciones, les enviamos los detalles de la vulnerabilidad sin cobrar nada. También estamos volviendo a probar estos errores para verificar si solucionaron los problemas o no de forma gratuita.

¿Qué cobramos?

  • Para los usuarios de dispositivos móviles, si desean ver los detalles de los errores, nuestras acciones sugeridas para reducir el riesgo de ataques y disfrutar de otras funciones avanzadas, deben comprar nuestro servicio PRO a través del pago en la aplicación.
  • Para los desarrolladores de aplicaciones, si quieren que proporcionemos pautas de corrección, cobramos $29.99 por error.

En cuanto al problema en sí (y por qué existe), aquí está la explicación de AppBugs:

Para su pregunta sobre por qué estas aplicaciones tienen problemas, es porque los desarrolladores de aplicaciones a menudo necesitan validar certificados SSL en su propio código o usan ciertas bibliotecas (como las bibliotecas de anuncios, bibliotecas de inicio de sesión social) donde las bibliotecas manejan la validación del certificado SSL. ellos mismos. Los desarrolladores de aplicaciones y los autores de estas bibliotecas no son expertos en seguridad y, a menudo, cometen errores de seguridad y permiten que un atacante intermedio use un certificado autofirmado para descifrar el tráfico entre la aplicación y los servidores web. Usted mencionó que Google aplicó un parche a WebView para solucionar el problema. Según un artículo de VentureBeat, Google no ha solucionado el problema, pero ha agregado la capacidad que permite a los desarrolladores escribir su propio código para validar el certificado. Por lo tanto, si los desarrolladores no lo hicieron o lo hicieron mal, las aplicaciones siguen siendo vulnerables.

Por lo tanto, AppBugs afirma que Google en realidad no solucionó la vulnerabilidad de WebView, sino que se la entregó a los desarrolladores para solucionar el problema. Lo que me parece interesante de esto es que, a partir de Android 5.0, WebView se ha separado de la pila de Android para convertirse en su propia aplicación, lo que significa que se pueden realizar actualizaciones oportunas de la aplicación sin necesidad de una actualización completa del firmware. Entonces, si Google no se molestó en parchear la vulnerabilidad, ¿por qué separaron WebView?

Lo que es aún más interesante es que ninguno de los desarrolladores (de todas las aplicaciones vulnerables) se puso en contacto con AppBugs después de que se publicaron los resultados. Honestamente, ¿dónde está la desconexión?

Entiendo que hay algunas aplicaciones que se desarrollan y luego se olvidan. Pero en el caso de, digamos, ASTRO, tiene una aplicación utilizada por cientos de miles de personas, con una vulnerabilidad conocida, ¿y no está respondiendo a una empresa que reclama una vulnerabilidad?

Tuve suerte de que los desarrolladores de ASTRO me respondieran con:

En esto tienen razón. Hay una manera de falsificar un certificado SSL y no siempre la detectamos. Solucionamos el problema y actualmente se encuentra en pruebas beta. Enviamos una copia del APK a AppBugs para verificar la corrección. (También estamos trabajando con alguien de la Universidad de California que verificó el parche). El parche debería estar disponible en Google Play Store a principios de la próxima semana.

Con seguimiento:

Aparentemente no recibieron nuestra carga, por lo que estamos cargando nuevamente. También verificamos la solución con otro grupo.

Ir adelante

En los últimos trimestres, FUD contra Android ha sido despiadado. Ha llegado a tal punto de ebullición que a veces es difícil escudriñar la basura para encontrar la verdad. Es por eso que es tan fácil descartar los reclamos de AppBugs como FUD. Es un problema (del que claramente fui víctima, en este caso)... un problema que no solo afecta a escritores, especialistas en marketing, desarrolladores y empresas. Esto afecta a los usuarios y consumidores, siendo este último grupo el más grande, ya que la gran mayoría no está lo suficientemente informada para comprender que FUD es un cosa y cómo diferenciar entre algo que realmente podría poner en peligro su seguridad y algo que solo está tratando de estafarlos. Esta es la razón por la que los usuarios son presa fácil de los ataques de ransomware como CryptoLocker. Y con el número de usuarios móviles creciendo exponencialmente (al ritmo que los usuarios de escritorio están superando), se ha vuelto cada vez más importante que entiendan qué es y qué no es una estafa.

La seguridad es y seguirá siendo un problema para los profesionales de TI, los desarrolladores y los usuarios finales. Mientras haya quienes quieran tu información (o tu dinero), tus dispositivos no son 100% seguros. E incluso si crees que son seguros, probablemente no lo sean. ¿Por qué? Debido a que puede tener una contraseña débil, no está utilizando la autenticación de dos pasos o esa aplicación en la que confía todos los días tiene una vulnerabilidad que puede explotarse.

Eso significa estarán ser explotado? Bueno, en el caso de ASTRO File Manager with Cloud Support, la única forma en que se habría visto afectado (antes de que AppBugs lo marcara como vulnerable y la empresa solucionara el problema) habría sido si hubiera utilizado la función de nube y alguien falsificara un certificado SSL. Este caja producirse. ¿Significa eso que te pasó a ti? A menos que esas dos variables entren en juego de la manera correcta, probablemente no.

Creo que tiene que haber un sistema de frenos y contrapesos aquí. En este caso, los reclamos de AppBugs eran ciertos y Google debería haberlos verificado y luego tomado medidas contra las aplicaciones en cuestión. ¿Cómo? Podrían haber extraído fácilmente todas las aplicaciones enumeradas como vulnerables y no permitirles volver a Play Store hasta que se solucione dicha vulnerabilidad. Esto podría haber obligado a todos los desarrolladores a responder a las quejas y corregir su código. Y si la afirmación es cierta de que Google en realidad no arregló WebView (y obligó a los desarrolladores de aplicaciones a realizar esta tarea), entonces deberían asumir la responsabilidad y solucionar el problema de inmediato.

Este problema no va a desaparecer. Se encontrarán más (y posiblemente peores) vulnerabilidades. La respuesta de los desarrolladores a tales afirmaciones será reveladora. ¿Cómo crees que deberían manejarse esas quejas? ¿Google debería eliminar las aplicaciones que se sabe que son vulnerables? Comparta sus pensamientos en el hilo de discusión a continuación.