Los coletazos de la tormenta Heartbleed aún se han acabado a pesar de haber pasado ya varios meses desde que todo saliera a la luz. Y es que resulta que como consecuencia de la reutilización de librerías de software por lo menos 50 apps de las más populares para Android sufrirían graves vulnerabilidades de seguridad, según podemos leer en IT News.
Heartbleed es el agujero de seguridad más importante de internet
La web australiana ha adelantado una investigación que se hará pública esta semana por el grupo Codenomicon, los mismos que destaparon el famoso fallo de seguridad en OpenSSL. Sus estudios demuestran que más de la mitad de las 50 apps envían información del usuario, normalmente en texto plano, a redes de publicidad de terceros sin el consentimiento del dueño del terminal. Es más, incluso algunos desarrolladores desconocían tal hecho.
El especialista jefe de Codenomicon, Olli Jarva, comenta que entre el 80% y 90% de las aplicaciones de software móvil están hechas de librerías reutilizadas, la mayoría de las cuales están bajo código abierto. Algo que es normal, ciertamente, ya que los desarrolladores a día de hoy prefieren lanzar una app de manera rápida antes que revisar una y otra vez su código.
Cerca de la mitad de las cincuenta aplicaciones mencionadas envían el Android ID a redes publicitarias de terceros, una de cada diez envía el IMEI del dispositivo o información de geolocalización e, incluso, una enviaba el número de teléfono del usuario. El estudio revela que el 30% de estas apps transmiten los datos en texto plano y que la mayoría no encriptan la información.
Esta brecha se produciría por no revisar las librerías de OpenSSL
La información que se refleja en el avance del estudio podría llevar a dos conclusiones: los desarrolladores no son conscientes de las vulnerabilidades (lógico, teniendo en cuenta las prisas a las que se ven sometidos); los desarrolladores son conscientes de estos fallos (lo cual nos llevaría a pensar que reciben importantes sumas de dinero por dejar estas puertas abiertas y filtrar información sobre nosotros y nuestro comportamiento).
Sea cual sea, y no tengo claro cual prefiero de las dos opciones, debería llevar a una seria revisión del software que tenemos en nuestros dispositivos. Pero sobre todo debería llevar a una revisión de la ética empresarial, tanto de unos como de otros, para que no nos traten como meros números.