No estamos hablando de cualquier aplicación. Suele ser habitual escuchar que en Google Play hay poco control y se cuela cualquier cosa, que con más de un millón de aplicaciones cualquiera sabe. El problema es cuando se dirigen las miradas hacia las más famosas y descargadas.
Es lo que han hecho en Codenomicon, quienes descubrieran la vulnerabilidad Heartbleed hace unos meses y de la que tanto se ha hablado. Según explica Olli Jarva, especialista en seguridad de dicho grupo, muchos de estos fallos llegan por la reutilización sin revisión de librerías Open Source como OpenSSL sin la revisión de estas, según un estudio al top 50 de aplicaciones Android.
Parte de los desarrolladores más exitosos se despreocupan del software más básico que hace funcionar su producto
Las cifras que arroja apuntan a que entre el 80 y el 90% de estas aplicaciones más famosas reutilizan librerías sin revisión, expresando que "los desarrolladores no quieren invertir en reinventar la rueda" para cada aplicación que publican. De esta forma "estamos viendo productos finales heredando vulnerabilidades, a veces por diseños de software pobres o errores lógicos, otras estos bugs son parcheados. En el caso de Heartbleed, éstos no son identificados en dos años".
En otros casos incluso, según Jarva, los desarrolladores están al tanto de estas vulnerabilidades y no actúan para corregirlas. El estudio saca cifras. De este top 50, en torno a la mitad envía el ID de usuario a redes publicitarias de terceros. Una de cada diez envía el IMEI o datos de localización del dispositivo a terceros. Incluso una envía nuestro número de teléfono. Una de cada diez está conectada a más de una red publicitaria. Cerca del 30% de las aplicaciones examinadas envían datos privados a través de texto plano, según este estudio.
El problema aquí, y donde Jarva apunta el foco, está en que el "software libre no supone un almuerzo gratis", sino que el código abierto está ahí para que sea reescrito y mejorado, y es precisamente esto lo que, para economizar, no hacen los desarrolladores de aplicaciones. Ni incluso los más famosos.
"La dificultad que afrontamos es que el factor motivante para la publicación de una aplicación es raramente su calidad en seguridad. Más testeo se traduce en más tiempo empleado, lo que implica un mayor coste para el desarrollador y un precio más alto para la solución. Solo se convierte en un problema cuando algo malo pasa."
Sin duda, refiriéndose a casos como el de Heartbleed, que dejó expuesto a dos tercios de los equipos conectados a internet. Si bien todavía no hay herramientas para que sea el usuario quien analice el funcionamiento de las aplicaciones, quizás deberíamos exigir calidad de las aplicaciones que utilizamos, si es que valoramos nuestra privacidad, claro.
Ver 5 comentarios