¿Qué podrían hacer algunas aplicaciones de Android silenciosamente a espaldas de sus usuarios?
La respuesta, según una serie de estudios, es mucho, probablemente más de lo que algunos usuarios se sentirían cómodos si lo supieran.
No se trata necesariamente de aplicaciones maliciosas propiamente dichas, sino de aplicaciones legítimas que se toman libertades o tienen funciones que sus usuarios no esperarían que existieran.
Por ejemplo, en marzo, los investigadores informaron que algunas aplicaciones prestan mucha atención a otras aplicaciones instaladas en el dispositivo, que en teoría podrían usarse para recopilar datos sobre el comportamiento y los gustos del usuario.
Pero un estudio publicado recientemente por investigadores de la Universidad Estatal de Ohio, la Universidad de Nueva York y el Centro Helmholtz para la Seguridad de la Información (CISPA) ofrece pruebas contundentes de que los comportamientos sin documentar y ocultos a menudo se extienden mucho más allá de la simple intromisión.
Utilizando una sofisticada herramienta de análisis estadístico llamada InputScope desarrollada para este fin, el equipo analizó el comportamiento de 150.000 apps, que comprenden las 100.000 más populares en Google Play en abril de 2019, más 30.000 apps preinstaladas en dispositivos Samsung y 20.000 tomadas del mercado alternativo chino Baidu.
El estudio examinó dos cuestiones: qué proporción de aplicaciones exhibían comportamientos secretos y cómo podrían usarse o abusarse de ellos.
De las 150.000, 12.706 exhibieron una variedad de comportamientos que indican la presencia de puertas traseras (claves de acceso secretas, contraseñas maestras y comandos secretos) más otros 4.028 que parecían estar verificando las entradas del usuario contra palabras de una lista negra, como nombres de líderes políticos, incidentes en las noticias y discriminación racial.
En cuanto a las puertas traseras, tanto Google Play como las aplicaciones de tiendas de aplicaciones alternativas como Baidu mostraron aproximadamente el mismo porcentaje de aplicaciones que caen en esta categoría: 6,8% y 5,3% respectivamente.
Curiosamente, para las aplicaciones de “bloatware” preinstaladas, el porcentaje que muestra este comportamiento fue el doble de las otras fuentes en alrededor del 16%.
Este hallazgo coincide con una carta pública enviada al CEO de Google Sundar Pichai en enero por Privacy International que criticaba la forma en que las aplicaciones preinstaladas a menudo no se analizan en busca de problemas de privacidad y seguridad, creando una solución tentadora para la vigilancia.
Como se documentó en otro estudio español de 2019, la procedencia de las aplicaciones preinstaladas a menudo es confusa, debido a los lazos comerciales entre fabricantes de teléfonos que el usuario final desconoce.
Los últimos resultados parecen confirmar esto, no solo para comportamientos que pueden describirse como puertas traseras, sino también para listas negras secretas.
Ese comportamiento se descubrió en casi el 4,5% de las aplicaciones de Baidu, pero también en casi el 3,9% de las aplicaciones preinstaladas. La cifra para las aplicaciones de Google fue de alrededor del 2%.
La pregunta importante es en qué peligros pueden resultar del acceso de puerta trasera y de las listas negras, más allá del hecho de que suenen como algo malo.
El equipo analizó más de cerca 30 apps, seleccionadas al azar de apps con más de un millón de instalaciones, y descubrió que una se instaló con la capacidad de que alguien inicie sesión de forma remota en su interfaz de administración.
Otros podrían restablecer las contraseñas de los usuarios, omitir las interfaces de pago, iniciar comportamientos ocultos utilizando comandos secretos o simplemente impedir que los usuarios accedan a contenido específico, a veces político.
Puerta trasera es un término emotivo que abarca casi cualquier característica secreta y remota que los usuarios no conozcan, algunas de las cuales podrían ser legítimas en algunas circunstancias, por ejemplo, el restablecimiento remoto de un dispositivo perdido. Otras parecen totalmente maliciosas.
Pero incluso si algunas eran legítimas, el hecho de que existan crea un riesgo potencial de seguridad si estas interfaces se conocen. Es la simple razón por la que las puertas traseras puestas ahí por conveniencia de programación nunca son una buena idea, punto.
Pero quizás la mayor consecuencia del estudio es simplemente cuántas aplicaciones de Google Play muestran estos comportamientos. Aunque la Play Store es grande, el hecho de que varios miles de aplicaciones tengan puertas traseras ocultas no inspira confianza.
Peor aún, actualmente no hay una forma fácil, aparte del tipo de análisis de semanas realizado por los investigadores usando una herramienta dedicada, de saber qué aplicaciones funcionan de esta manera.
Eso no es tanto una puerta trasera como un “ángulo muerto”, otro problema del que podría prescindir la a veces caótica plataforma Android de Google.