“Antiguas vulnerabilidades críticas siguen vigentes en cientos de aplicaciones Android”

Check Point ha realizado un análisis sobre tres problemas de ejecución de código arbitrario que se detectaron entre los años 2014 y 2016. Y ha llegado a la conclusión de que siguen causando daño. Ha detectado “patrones conocidos asociados con versiones vulnerables de código abierto descubiertos con anterioridad”.

Así, la compañía de seguridad está alertando sobre la existencia de “antiguas vulnerabilidades críticas” que “siguen vigentes en cientos de aplicaciones Android, entre las que se encuentran algunas tan utilizadas como Facebook, Instagram, Yahoo Browser o WeChat”. A través de ellas, un ciberdelincuente puede robar información y obtener permisos para acceder a la ubicación del usuario o leer sus conversaciones.

Aunque la gente pueda creer que los errores que afectan a un componente del software se solucionan de cuajo con instalar una actualización, los expertos explican que “incluso las vulnerabilidades corregidas desde hace mucho tiempo pueden ser de importancia crítica, ya que el código obsoleto podría reutilizarse incluso en las aplicaciones más populares”.

La descarga y actualización de las últimas versiones es una primera medida de seguridad, “pero no ofrece una certeza absoluta de que el dispositivo se está protegiendo al máximo nivel, por lo que es fundamental contar con herramientas de seguridad adicionales que aporten una capa de seguridad extra”, aclara Eusebio Nieva, director técnico de Check Point para España y Portugal.

Si no, vulnerabilidades conocidas pueden afectar de nuevo a los dispositivos porque “una aplicación móvil popular suele utilizar docenas de componentes reutilizables” o “bibliotecas nativas”, que “suelen derivar de proyectos de código abierto o incorporar fragmentos de código de estos proyectos. Cuando se encuentra y corrige una vulnerabilidad en uno de estos proyectos, es complicado tener control sobre las bibliotecas nativas que pueden verse afectadas por dicho fallo de seguridad”, señala Check Point, “o sobre las aplicaciones que utilizan estas bibliotecas nativas. Todo esto hace que una aplicación pueda seguir usando la versión obsoleta del código incluso años después de que se descubra la vulnerabilidad”.

Al final son brechas capaces de persistir también en aplicaciones de publicación reciente en las tiendas oficiales. Aquí hay que recordar el hecho de que Google no obliga a modificar el código de terceros.

Mónica Tilves

Licenciada en Xornalismo por la Universidad de Santiago de Compostela en la especialidad de Periodismo Electrónico y Multimedia. Apasionada de los gadgets, la fotografía digital, el diseño web y el arte. Tras un primer contacto con el mundo de la prensa escrita y con la suficiencia investigadora debajo del brazo, me decanto por los medios online. Cubro la actualidad informativa en Silicon Week desde 2011, además de colaborar en otras publicaciones del grupo NetMediaEurope en España como Silicon News. Ahora en Silicon.es.

Recent Posts

Salesforce lanza Agentforce 2.0: la plataforma de trabajo digital impulsada por agentes de IA autónomos

Salesforce presenta Agentforce 2.0, la plataforma digital que transforma el trabajo empresarial con agentes de…

12 horas ago

@aslan prepara un plan de divulgación sobre tendencias tecnológicas para 2025

Estas tendencias giran en torno a la resiliencia de los datos, la ciberseguridad, el puesto…

12 horas ago

Linda, de Bewe software, una asistente de IA para optimizar pymes en LATAM y España

Linda, el innovador asistente de IA desarrollado por Bewe Software, ha sido galardonado como Caso…

13 horas ago

Sandisk renueva su identidad corporativa

Bajo el lema Mindset of Motion, defiende que las personas puedan experimentar el potencial de…

14 horas ago

El próximo smartphone de OnePlus ya tiene fecha de salida: el 7 de enero

Será el primer terminal OnePlus con doble certificación IP68 e IP69.

14 horas ago

Mate X6, el nuevo móvil plegable de HUAWEI

HUAWEI introduce también la serie de teléfonos móviles Nova 13 y los auriculares FreeClip y…

15 horas ago