sábado, 23 de noviembre de 2019

Halladas 146 aplicaciones de Android con vulnerabilidades de los fabricantes


A través de una investigación financiada por el Departamento de Seguridad Nacional de los Estados Unidos, Kryptowire encontró 146 aplicaciones Android preinstaladas que grababan audio en secreto y cambiaban la configuración del teléfono. A veces las aplicaciones se auto-concedían incluso los permisos para realizar estas tareas.

Habiendo llevado a cabo esta investigación desde hace pocos años, Kryptowire encontró las vulnerabilidades cuya responsabilidad está en el fabricante y el firmware de la compañía formado por 29 distintos fabricantes, aunque los nombres de esos fabricantes de teléfonos no fueron revelados. Las investigaciones las hicieron con una nueva herramienta que escanea el firmware y busca vulnerabilidades sin necesidad de un teléfono físico.

Angelos Stavrou, CEO de Kryptowire, cree que debe haber una mayor responsabilidad por parte de Google. Cree que “Google puede exigir un análisis más exhaustivo del código y la responsabilidad de los proveedores de sus productos de software que entran en los ecosistemas Android”.

“Los legisladores y políticos deben exigir que las empresas sean responsables de poner en riesgo la seguridad y la información personal de los usuarios finales”.

Tal como están, las aplicaciones preinstaladas conllevan una amenaza de seguridad significativamente mayor, ya que normalmente tienen más libertad que otros tipos de aplicaciones para operar en un teléfono. También pueden ser más difíciles de eliminar.

Hace dos años Kryptowire expuso amenazas de seguridad similares en los teléfonos Android de Shanghai Adups Technology. Se descubrió que el software preinstalado enviaba datos del dispositivo al servidor de la empresa en Shanghai sin que los usuarios lo supieran. La compañía ha dicho que resolvió el problema el año pasado.

A pesar de que todavía se encuentran vulnerabilidades similares, Stavrou cree que todavía hay algunas mejoras en la estrategia general de Google.

“Asegurar la cadena de suministro de software es un problema muy complejo, y Google y la comunidad de investigadores de seguridad siempre están haciendo avances para abordar el problema”, explicó.

No olvides Compartir...

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes