¿Son seguras y fiables las apps más populares de Android?

Según NetMarketShare, 71 de cada cien smartphones empleados en el mundo durante el pasado mes de marzo emplean Android. Su rival más cercano, iOS, sumaba 28 de ellos. Dicho de otra manera, la posición de ventaja del sistema operativo de Google para dispositivos es, sencillamente, aplastante. Esto, claro, supone una gran alegría para la tecnológica, pero también tiene una consecuencia lógica y algo menos agradable: ser sometida a un enorme escrutinio, que en ocasiones revela datos que no son precisamente favorables.

Tal es el caso del informe publicado por investigadores de laUniversidad Estatal de Ohio, la Universidad de Nueva York y el Centro Helmholtz de Seguridad de la Información CISPA. Hablamos de un documento que acredita que casi un 8,5% de las apps más populares de Android tienen una puerta trasera que permite, en determinadas condiciones y circunstancias, que los desarrolladores (o terceras personas que averigüen cómo hacerlo) puedan obtener un acceso no autorizado por sus usuarios a las mismas.

Para llevar a cabo las pruebas, los investigadores han empleado una herramienta denominada INPUTSCOPE, cuya principal función es analizar el comportamiento de las apps cuando se introduce y valida texto en las mismas. Todo con el fin de identificar acciones «anómalas», es decir, que al menos en principio no encajen con el comportamiento que cabría esperar de ellas.

En cuanto a las apps probadas, es indiscutible que los autores del estudio han sido bastante ambiciosos, ya que se analizaron más de 150.000 aplicaciones de Android, incluidas las 100.000 aplicaciones principales de Google Play, las 20.000 aplicaciones principales de una tienda alternativa, y 30.000 aplicaciones preinstaladas extraídas del firmware de los smartphones de Samsung. Y esta es la primera conclusión que encontramos al leer el estudio:

«Si bien estas aplicaciones tienen una funcionalidad rica y útil que está expuesta públicamente a los usuarios finales, también contienen comportamientos ocultos que no se divulgan, como puertas traseras y listas negras diseñadas para bloquear contenido no deseado. Descubrimos que la validación de entrada en aplicaciones móviles se puede usar para exponer secretos activados por dichas entradas, como puertas traseras y secretos de listas negras, y que la funcionalidad oculta dependiente de entrada está muy extendida en las aplicaciones de Android.»

Seguramente ahora mismo te estarás preguntando por los resultados, ¿verdad? Los expertos detectaron 12.706 aplicaciones (8.47%) que contienen algún tipo de puerta trasera (claves de acceso secretas, contraseñas maestras y comandos secretos que brindan acceso a funciones solo para administradores) y 4.028 aplicaciones (2.69%) que incluyen listas negras secretas, que bloquearían el contenido si incluye palabras clave específicas sujetas a censura por cualquier razón.

La validación de entrada, en principio, lo único que tendría que hacer es chequear que el contenido introducido por el usuario se ajusta a determinadas condiciones. Sin embargo, la entrada de texto es la herramienta más común para interactuar con con una app (tanto en Android como en otras plataformas), por lo que es común emplearla también para acceder a funciones concretas (como las funciones ocultas de administración, por ejemplo). El problema no es tanto que esto funcione así, como la falta de transparencia de cara a los usuarios.

Y es que, visto lo visto, es muy probable que alguna de las apps que utilizas en tu día a día, y en la que confías para determinadas labores, tenga una puerta de acceso trasera. Y esto nos lleva a un debate que ya lleva años dentro de la comunidad: ¿tiene sentido que los desarrolladores empleen este tipo de funciones? Son dos los argumentos en contra: el primero es la falta de información al respecto al usuario, que desconoce su existencia.

Pero hay un problema todavía peor: aunque el desarrollador no tenga intención de emplear la puerta trasera de manera malintencionada, ¿qué ocurre si algún ciberdelincuente, sea de la manera que sea, llega a tener conocimiento de su existencia? ¿Y si consigue averiguar cómo emplearla? Una llave maestra es una herramienta tan poderosa como peligrosa. Tanto que, en muchas ocasiones, especialmente cuando no se dispone de todos los medios necesarios para custodiarla adecuadamente, lo mejor es no exista.