- Tema Autor
- #1
Al menos 25 de la 50 aplicaciones mas populares de la plataforma Android podrían ser afectadas por una vulnerabilidad según un estudio del grupo Codenomicon que se publicará esta semana.
Heartbleed aún se han acabado a pesar de haber pasado ya varios meses desde que todo saliera a la luz. Y es que resulta que como consecuencia de la reutilización de librerías de software por lo menos 25 de las 50 apps de las más populares para Android sufrirían graves vulnerabilidades de seguridad, según informa en su página IT News.
Investigadores de Codenomicon, que publicaron por primera vez información sobre la vulnerabilidad de OpenSSL y autores el nombre de “Heartbleed” , esta semana publicarán las conclusiones de su estudio que seguramente avergonzaran a algunos de los desarrolladores de aplicaciones más exitosas del mundo por su falta de precaución en medidas de seguridad.
Los resultados preliminares del estudio revelan que más de la mitad de las 50 aplicaciones estudiadas envían datos de los usuarios a las redes publicitarias de terceros sin permiso del usuario.
Los investigadores llegaron a la conclusión de que muchos de los desarrolladores de estas aplicaciones no son conscientes de las vulnerabilidades que se estaban entregando en el código.
Olli Jarva, jefe especialista en seguridad en Codenomicon, dijo que el 80 a 90 por ciento del software de una aplicación móvil se compone de bibliotecas reutilizadas, la mayor parte disponibles bajo código abierto.
Jarva Comento “es era natural que los desarrolladores no querían que “invertir (tiempo y dinero) en la reinvención de la rueda” con cada aplicación que lanzan al mercado.
Pero mientras que “en teoría” la comunidad de código abierto debería resultar en un código de calidad, debido al mayor número de desarrolladores que contribuyen a su desarrollo, los numerosos errores en OpenSSL demostraron que esto no ha sido posible.
“Estamos viendo que los productos finales heredan vulnerabilidades – a veces el resultado es un diseño de software pobre o con errores lógicos en las implementaciones,a veces esos errores se identifican y son parcheados. A veces, como en el caso de Heartbleed, no son identificados por dos años”.
Lo más preocupante es cuando “los desarrolladores actúan intencionalmente”, dijo Jarva.
“Algunas personas podrían no haber reportado una vulnerabilidad con el propósito de hacer algo desagradable” una vez que se ha distribuido el código.
Los usuarios finales que compran o encargan el desarrollo de aplicaciones móviles es poco probable que tenga en cuenta que las aplicaciones reutilizan librerías de software con conexión a redes de publicidad, que filtran datos privados sin el consentimiento del usuario, dijo.
Una de cada diez aplicaciones envían ya sea el ID del dispositivo del usuario (código IMEI) o datos de geolocalización a un tercero, además podrían enviar el número de teléfono móvil del usuario. Una de cada diez aplicaciones están conectadas a más de dos redes de anuncios.
“Los problemas son invisibles para los usuarios”, dijo Jarva.
Fuente:http://www.msweb.com.mx/android-en-peligro/
Investigadores de Codenomicon, que publicaron por primera vez información sobre la vulnerabilidad de OpenSSL y autores el nombre de “Heartbleed” , esta semana publicarán las conclusiones de su estudio que seguramente avergonzaran a algunos de los desarrolladores de aplicaciones más exitosas del mundo por su falta de precaución en medidas de seguridad.
Los resultados preliminares del estudio revelan que más de la mitad de las 50 aplicaciones estudiadas envían datos de los usuarios a las redes publicitarias de terceros sin permiso del usuario.
Los investigadores llegaron a la conclusión de que muchos de los desarrolladores de estas aplicaciones no son conscientes de las vulnerabilidades que se estaban entregando en el código.
Olli Jarva, jefe especialista en seguridad en Codenomicon, dijo que el 80 a 90 por ciento del software de una aplicación móvil se compone de bibliotecas reutilizadas, la mayor parte disponibles bajo código abierto.
Jarva Comento “es era natural que los desarrolladores no querían que “invertir (tiempo y dinero) en la reinvención de la rueda” con cada aplicación que lanzan al mercado.
Pero mientras que “en teoría” la comunidad de código abierto debería resultar en un código de calidad, debido al mayor número de desarrolladores que contribuyen a su desarrollo, los numerosos errores en OpenSSL demostraron que esto no ha sido posible.
“Estamos viendo que los productos finales heredan vulnerabilidades – a veces el resultado es un diseño de software pobre o con errores lógicos en las implementaciones,a veces esos errores se identifican y son parcheados. A veces, como en el caso de Heartbleed, no son identificados por dos años”.
Lo más preocupante es cuando “los desarrolladores actúan intencionalmente”, dijo Jarva.
“Algunas personas podrían no haber reportado una vulnerabilidad con el propósito de hacer algo desagradable” una vez que se ha distribuido el código.
Los usuarios finales que compran o encargan el desarrollo de aplicaciones móviles es poco probable que tenga en cuenta que las aplicaciones reutilizan librerías de software con conexión a redes de publicidad, que filtran datos privados sin el consentimiento del usuario, dijo.
Una de cada diez aplicaciones envían ya sea el ID del dispositivo del usuario (código IMEI) o datos de geolocalización a un tercero, además podrían enviar el número de teléfono móvil del usuario. Una de cada diez aplicaciones están conectadas a más de dos redes de anuncios.
“Los problemas son invisibles para los usuarios”, dijo Jarva.
Fuente:http://www.msweb.com.mx/android-en-peligro/