Un nuevo informe de IBM nos recuerda que los propietarios de dispositivos móviles de uso personal y profesionales por igual, no deben dar por sentada la seguridad de las aplicaciones descargadas de tiendas de "confianza".

En un estudio publicado la semana pasada llamado "Análisis de Seguridad de IBM: Aplicaciones de citas, vulnerabilidades y riesgos para las empresas" [PDF en inglés], la compañía escaneó 41 de las principales aplicaciones de citas disponibles en Google Play en octubre de 2014.

IBM encontró que mas del 60 por ciento de las aplicaciones analizadas se vieron a afectadas por medianas a severas fallas "que ponen tanto los datos de la aplicación como los almacenados en los dispositivos en riesgo", decía el reporte.

Las vulnerabilidades descubiertas a través de las aplicaciones más populares incluyen vulnerabilidades cross-site scripting (XSS) y el uso de generadores de números aletorios débiles para cifrado. Además, muchas de las 41 aplicaciones fueron vulnerables a phishing por medio de ataques de man-in-the-middle (MitM) diseñados para robar las credenciales de los usuarios en pantallas de inicio falsas, es decir, algunas de las aplicaciones tenían la bandera de depuración habilitada, lo que significa que un atacante podría potencialmente "interceptar información que fluye en la aplicación de Android, modificar su acción e inyectar información maliciosa dentro y fuera de ésta", decía el reporte.

IBM también tomó nota de la gama de información potencialmente expuesta debido a las aplicaciones vulnerables, como información de tarjetas de crédito (en el formulario de datos de facturación del usuario guardada en los dispositivos) e información de ubicación por GPS. Las vulnerabilidades identificadas podrían también permitir a un atacante ganar acceso a la cámara o micrófono del teléfono, advirtió la compañía.

Caleb Barlow, vicepresidente de gestión móvil y seguridad en IBM dijó a SCMagazine.com en una entrevista que IBM decidió no nombrar a las aplicaciones más populares que fueron vulnerables, al menos por el momento, pero que la empresa notificó a los desarrolladores de las 41 apps.

"Obviamente, tuvimos que tener algunas conversaciones con algunos de estos desarrolladores que se vieron afectados", dijó Barlow. "Debido al número de afectados, no estamos divulgando ningún nombre porque necesitamos dar tiempo a las compañías para remediar estos problemas."

Él agregó que, en muchos casos, las vulnerabilidades eran el resultado directo de prácticas pobres de programación que pudieron haberse evitado con un escaneo rápido de la aplicación.