Los ajustes de Android de los fabricantes de teléfonos provocan problemas de seguridad

La naturaleza abierta del sistema operativo Android de Google significa que los fabricantes pueden agregar su propia capa de software al teléfono, lo que los ayuda a destacarse del resto con un aspecto y funciones diferentes. Sin embargo, una nueva investigación muestra que tal adaptación también puede ser responsable de una serie de debilidades de seguridad que podrían hacer que los teléfonos sean más vulnerables a los piratas informáticos.





Según un estudio realizado por investigadores en ciencias de la computación de la Universidad Estatal de Carolina del Norte, los cambios que hicieron los fabricantes en el software estándar de Android fueron responsables de más del 60 por ciento de las fallas de seguridad descubiertas en teléfonos de diferentes compañías de teléfonos. A papel (pdf) sobre el trabajo está programado para ser presentado el miércoles en el Conferencia ACM sobre seguridad informática y de comunicaciones en Berlín.

Nos sorprendió la inseguridad general, dice uno de los autores, Xuxian Jiang , profesor asociado de informática en la universidad, que investiga malware móvil. Jiang lo ve como una indicación de que algunos proveedores de teléfonos no se están tomando la seguridad lo suficientemente en serio y que sienten una presión constante para llevar nuevas funciones de software al mercado.

En su estudio, los investigadores analizaron 10 teléfonos inteligentes Android; cinco ejecutaron variaciones de la cuarta generación de software de Android y cinco utilizaron la segunda generación (entre esos dos, Google lanzó una versión 3.2, también conocida como Honeycomb, que estaba destinada a tabletas). Los investigadores probaron un teléfono con cada una de las dos versiones de Android de Samsung, HTC, LG y Sony, incluidos los populares Samsung Galaxy S3 y HTC One X, así como dos teléfonos de la marca Google (Nexus S y Nexus 4, fabricados por Samsung y LG, respectivamente) que sirvieron principalmente como marcos de referencia, ya que no incluyen las mismas máscaras de software personalizadas que se encuentran en muchos otros teléfonos Android.



Para averiguar cuáles eran las vulnerabilidades de seguridad y dónde se originaron, los investigadores primero separaron las aplicaciones que venían cargadas en los teléfonos inteligentes en tres categorías, y señalaron cuáles provenían del Proyecto de código abierto de Android de Google, que fueron creadas o personalizadas por el fabricante de teléfonos inteligentes. y que vino de programadores externos.

Luego, analizaron los datos y las funciones que las aplicaciones quieren usar, por ejemplo, la capacidad de acceder a sus fotos o marcar los números de teléfono de sus contactos, para averiguar qué aplicaciones solicitaban permisos que en realidad no estaban usando. Las aplicaciones con más permisos de los que necesitan son problemáticas porque pueden poner datos personales como nombres de usuario y números de tarjetas de crédito en mayor riesgo de verse comprometidos si esa aplicación es pirateada.

Los investigadores descubrieron que el 86 por ciento de las aplicaciones precargadas en estos teléfonos inteligentes solicitaban más permisos de los necesarios, y los fabricantes de teléfonos inteligentes habían agregado la mayoría de las llamadas aplicaciones sobreprivilegiadas como parte de sus procesos de personalización. Debido a que están integradas con el sistema operativo en un nivel bajo, las aplicaciones agregadas por los fabricantes pueden obtener mayores permisos de acceso que las creadas por desarrolladores de aplicaciones externos.



Marc Rogers, investigador principal de seguridad de la empresa de software de seguridad móvil Lookout, dice que el problema de las aplicaciones con exceso de privilegios es común a los desarrolladores de aplicaciones en general, no solo a proveedores específicos. Si observa el mercado, hay bastantes aplicaciones que tienen este problema en el que el desarrollador de la aplicación ha dicho: 'Solicitaré tantos permisos como sea posible en caso de que los necesite', dice.

Los investigadores también buscaron problemas de seguridad que podrían permitir que las aplicaciones actúen como si tuvieran permiso para hacer cosas para las que no están autorizadas, o que podrían permitir que las aplicaciones compartan datos confidenciales del usuario sin permiso.

En general, los investigadores determinaron que entre el 65 y el 85 por ciento de las 177 vulnerabilidades de seguridad en los teléfonos inteligentes Samsung, HTC y LG se originaron a partir de personalizaciones del fabricante; El 38 por ciento de las 16 debilidades encontradas en los teléfonos inteligentes de Sony provienen de esa fuente.



Rogers, que ha visto que las personalizaciones de los proveedores producían problemas de seguridad en el pasado (como una que surgió de la personalización de Samsung de la pantalla de bloqueo del Galaxy S3), dice que independientemente de dónde se originen los problemas, cualquier cambio en el software de Android contribuye a la fragmentación del sistema operativo y puede introducir vulnerabilidades que Google no rastrea.

Los investigadores del estudio dicen que intentaron comunicarse con los fabricantes de teléfonos inteligentes para informarles de los problemas de seguridad que encontraron, pero no todos respondieron. Los fabricantes de teléfonos inteligentes y Google no respondieron a las solicitudes de comentarios sobre esta historia.

Sin embargo, Jiang espera que el estudio ayude a los proveedores y usuarios a reconocer estos problemas de seguridad. Con suerte, la próxima generación de teléfonos será mucho más segura, dice.



esconder