Programación descuidada, parches inconclusos y motores de distribución poco fiables son comúnes en las aplicaciones para Android, de acuerdo a un nuevo estudio. En resumen, millones de usuarios de smartphones son potencialmente vulnerables a ataques man-in-the-middle (MITM u hombre en medio).

Investigadores de la firma de seguridad FireEye estudiaron las mil aplicaciones más populares de Android en Google Play Store y encontraron que la gran mayoría de ellas son vulnerables a ataques man-in-the-middle gracias a errores de SSL y a la gestión de certificados. Del top 10 mil de aplicaciones más populares, 60% fueron vulnerables.

"En el ecosistema Android todo se trata de comunicación; y en este mismo momento está pidiendo ayuda a gritos." Dijo el equipo de investigadores en una entrada de su blog. "Esto se debe a vulnerabilidades de SSL y al ataque man-in-the-middle que está causando estragos en la seguridad de los datos."

Los investigadores examinaron el código de tres errores básicos de seguridad de SSL: gestores de confianza que no comprueban si los certificados digitales son válidos, aplicaciones que no verifican si el nombre de host de los servidores es correcto y código que hace caso omiso a los errores de SSL cuando se usan webkits (errores que surgen cuando las comprobaciones de integridad de seguridad han fallado).

Los motores de gestores de confianza que no checan la identidad de los servidores backend son por mucho el problema más común, significa esencialmente que los malhechores pueden hacerse pasar como sistemas confiables para desviar datos. Esto ocurre en el 73% de las aplicaciones del top mil de la zona de descarga de Google.

El segundo error más común fueron los relacionados a errores con webkits, afectando al 77% del top 1000 y al 13% del top 10,000. Los errores de comprobación de nombre de host también aparecen en las cifras de ambos grupos de prueba.

Las redes publicitarias son un vector de ataque cada vez más atractivo para los ataques de man-in-the-middle, ya sea para secuestrar una conexión o para instalar malware y forzar a los usuarios a visitar otros sitios. El equipo de investigadores encontró que dos de las mejores bibliotecas para publicidad (Flurry y Chartboost) del conjunto de muestras son gestores de confianza que no cumplen las espectativas.

Ambas piezas de software ya han sido corregidas pero eso no significa que otras aplicaciones de terceros también hayan actualizado su código, reconstruido y lanzado nuevas versiones.