A partir de una prueba de certificado SSL independiente realizada en varias aplicaciones de Android, Google no pudo autenticar la seguridad de aproximadamente 250 aplicaciones en su Play Store, y contando.
Will Dormann, investigador del Centro de Coordinación CERT de la Universidad Carnegie Mellon, compiló los cientos de aplicaciones de Android en una hoja de cálculo publicada en el sitio web del CERT y muestra qué aplicaciones deben evitar los usuarios instalar en sus dispositivos móviles por una posible pérdida de datos y una violación de seguridad.
Las aplicaciones no autenticadas residen tanto en Google Play Store como en la tienda de aplicaciones de Amazon, y al momento de escribir esto, la cantidad de aplicaciones vulnerables a los ataques de intermediarios probablemente continúe aumentando a medida que Dormann sigue agregando a la lista. Teniendo en cuenta que Android y Amazon combinados representan un número muy considerable de usuarios de Android en el mercado. Esto requiere una atención seria, tanto de los usuarios como de las empresas involucradas.
El método utilizado para determinar que esas aplicaciones son vulnerables a los ataques se lanzó el mes pasado, llamado CERT Tapioca, a través del cual se probaron aplicaciones de Android aleatorias para detectar ataques MITM. Aunque el investigador reconoció el hecho de que probó solo una pequeña fracción del ecosistema de Android, las pruebas están en curso y probablemente se revelarán más aplicaciones en los próximos días.
Dormann prometió actualizar la hoja de cálculo una vez que se descubra que más aplicaciones no superan las pruebas de certificación SSL. También informa a Google y Amazon sobre el estado de las aplicaciones en sus respectivas plataformas, así como a los autores de las aplicaciones.
Resulta, según el investigador, que esas empresas no están realizando las mismas pruebas de certificado SSL en las aplicaciones que se introducen en su mercado en línea. De hecho, es una revelación sorprendente para Google, en particular, que últimamente ha estado tomando medidas para reforzar la seguridad en todos sus servicios.
También parece que Google y Amazon aún no han visto un movimiento proactivo hacia la mitigación de las aplicaciones de riesgo a pesar de sus vastos recursos, experiencia y talento para poder hacer eso.
Las aplicaciones que tienen un cumplimiento deficiente de SSL van desde juegos, música y aplicaciones de productividad. Sin embargo, es difícil determinar si las vulnerabilidades encontradas en esas aplicaciones son deliberadas o no intencionales, según el investigador.
El problema de primera mano también radica en el bajo rendimiento de una aplicación si la función de validación SSL está habilitada. Los desarrolladores, como convención, lo desactivan para que la aplicación funcione sin problemas. Pero antes de publicar la aplicación en las tiendas de aplicaciones, se debe habilitar la certificación SSL, que suelen olvidar.
