La empresa de ciberseguridad del Reino Unido, Codified Security, acaba de publicar un informe que es una mala noticia para cualquiera que haya escrito una aplicación para Android: muchas están plagadas de puertas traseras.

El informe destaca dos problemas diferentes con consecuencias muy diferentes: una fuga de datos del cliente o una forma de obtener acceso a las computadoras en las que se probó el código. La peor noticia es el responsable de las puertas traseras: el código sobrante que no se eliminó antes del lanzamiento.

Si es un desarrollador de Android y tal vez se pregunte qué queda o simplemente comentó, es una buena idea abrir esta aplicación y ver si estas puertas traseras se aplican a usted.

Índice
  • La puerta trasera de acceso completo más grande, pero menos común
  • ¿Qué valor le da a los servidores de su entorno de desarrollo?
  • Proteja sus aplicaciones de Android
  • Tres grandes conclusiones para los lectores de TechRepublic:
  • La puerta trasera de acceso completo más grande, pero menos común

    El primer fragmento de código restante solo se encontró en el tres por ciento de las aplicaciones probadas, pero crea una puerta trasera que puede revelar todo tipo de información y fue fácil de obtener.

    Consulte: No descargue aplicaciones de Android de fuentes no confiables (TechRepublic)

    Después de abrir el binario de probadores de aplicaciones de destino, simplemente buscaron referencias a servicios como AWS, Google Cloud, GitHub, Twitter y otras plataformas. Buscaron esas claves en las referencias de cadenas de Java y listo: credenciales.

    La información revelada podría exponer la información del cliente, otorgar acceso a servidores y clústeres y proporcionar información sobre las bases de datos. En general, este es un problema grave que puede ser difícil de solucionar: es fácil que se filtren fragmentos de código en un proyecto enorme.

    ¿Qué valor le da a los servidores de su entorno de desarrollo?

    Si le preocupa su infraestructura de preparación y desarrollo, la segunda puerta trasera debería preocuparle: el 40 % de las aplicaciones probadas contenían menciones remanentes de entornos de desarrollo.

    Los atacantes podrían usar la información encontrada para obtener acceso a estos servidores, que a menudo tienen menos protección a su alrededor, y lo siguiente que sabes es que te han robado toda tu dirección IP.

    Nuevamente, puede ser difícil capturar cada mención de los entornos de desarrollo en su código, pero es importante que lo haga.

    Proteja sus aplicaciones de Android

    Las lecciones aprendidas del informe se aplican a cualquier persona que alguna vez haya publicado una aplicación de Android, o cualquier aplicación para el caso. El hecho de que estas filtraciones se hayan informado en dispositivos Android no significa que no existan puertas traseras similares en las aplicaciones de iOS, macOS o Windows.

    Ver: Las 18 violaciones de datos más aterradoras (TechRepublic)

    Analice su código antes de publicarlo y no tome el control de calidad con un grano de sal: ahora es un buen momento para capturar fragmentos de código superfluos. La seguridad es una parte tan importante del control de calidad como cualquier otro aspecto de una aplicación, y el código restante es un problema de seguridad.

    También tómese el tiempo para proteger su código fuente. Hay métodos disponibles para analizar el código para detectar bits no utilizados, marcar áreas potencialmente explotables e incluso ofuscar el código para dificultar la ingeniería inversa.

    Elegir una aplicación de Android no es difícil. Los desarrolladores se deben a sí mismos y a sus clientes hacer esta selección lo más difícil posible.

    Tres grandes conclusiones para los lectores de TechRepublic:

    1. Los evaluadores de seguridad han descubierto que el 40 % de las aplicaciones de Android contienen código sobrante que expone los datos del usuario y del desarrollador.
    2. Las puertas traseras se pueden utilizar para robar información de los clientes y obtener acceso a servidores y entornos de desarrollo.
    3. Los desarrolladores deben tomarse el tiempo para proteger su código, eliminar las partes no utilizadas y mantener los datos lo más seguros posible antes del lanzamiento.

    Ver también:

    • Elimine las aplicaciones de Android no utilizadas ahora o arriesgue una pesadilla de seguridad (TechRepublic)
    • Seguridad en línea 101: Consejos para proteger su privacidad de piratas informáticos y espías (ZDNET)
    • Cómo evitar que te estafen las aplicaciones de Android en Google Play (TechRepublic)
    • El estado de la seguridad de los dispositivos móviles: Android frente a iOS (ZDNET)
    • Cuidado con descargar ciertas aplicaciones o correr el riesgo de 'ser espiado' (CBS News)