Esas malas aplicaciones de Android preinstaladas pueden estar llenas de agujeros de seguridad

Si alguna vez compraste un Android teléfono, es muy probable que lo haya arrancado para encontrarlo precargado con basura que definitivamente no solicitó.

Estas aplicaciones preinstaladas pueden ser torpes, molestas de eliminar, raramente actualizadas … y resulta que están llenas de agujeros de seguridad.

La empresa de seguridad Kryptowire creó una herramienta para escanear automáticamente una gran cantidad de dispositivos Android en busca de signos de deficiencias de seguridad y, en un estudio financiado por el Departamento de Seguridad Nacional de los EE. UU., La ejecutó en teléfonos de 29 proveedores diferentes. Ahora, la mayoría de estos vendedores son de los que la mayoría de la gente nunca ha oído hablar, pero algunos grandes nombres como Asus, Samsung y Sony aparecen.

Kryptowire dice que encontraron vulnerabilidades de todas las diferentes variedades, desde aplicaciones que pueden ser forzadas a instalar otras aplicaciones, hasta herramientas que pueden ser engañadas para grabar audio, hasta aquellas que pueden alterar silenciosamente la configuración de su sistema. Algunas de las vulnerabilidades solo pueden ser activadas por otras aplicaciones que vienen preinstaladas (lo que limita el vector de ataque a las de la cadena de suministro); otros, mientras tanto, aparentemente pueden ser activados por cualquier aplicación que el usuario pueda instalar en el futuro.

Kryptowire tiene una lista completa de vulnerabilidades observadas aquí, desglosadas por tipo y fabricante. La firma dice que encontró 146 vulnerabilidades en total.

Como señala Wired, Google es muy consciente de esta posible ruta de ataque. En 2018 lanzó un programa llamado Build Test Suite (o BTS) que todos los OEM socios deben aprobar. BTS escanea el firmware de un dispositivo para detectar cualquier problema de seguridad conocido que se oculte entre sus aplicaciones preinstaladas, marcando estas aplicaciones defectuosas como Aplicaciones potencialmente dañinas (o PHA). Como Google lo pone en su informe de seguridad de Android 2018:

Los OEM envían sus imágenes de compilación nuevas o actualizadas a BTS. BTS luego ejecuta una serie de pruebas que buscan problemas de seguridad en la imagen del sistema. Una de estas pruebas de seguridad analiza los PHA preinstalados incluidos en la imagen del sistema. Si encontramos un PHA en la compilación, trabajamos con el socio OEM para corregir y eliminar el PHA de la compilación antes de que pueda ofrecerse a los usuarios.

Durante su primer año calendario, BTS evitó que 242 construcciones con PHA ingresen al ecosistema.

Cada vez que BTS detecta un problema, trabajamos con nuestros socios OEM para remediar y comprender cómo se incluyó la aplicación en la compilación. Este trabajo en equipo nos ha permitido identificar y mitigar las amenazas sistémicas al ecosistema.

Por desgracia, un sistema automatizado no puede detectarlo todo, y cuando un problema se escabulle, no hay certeza de que alguna vez llegue un parche o solución (especialmente en dispositivos de gama baja, donde el soporte a largo plazo tiende a ser limitado).

Nos comunicamos con Google para comentar sobre el informe, pero aún no hemos recibido respuesta.

Actualización: respuesta de Google:

Apreciamos el trabajo de la comunidad de investigación que colabora con nosotros para solucionar y revelar de manera responsable problemas como estos.