Se encuentran criptobugs en numerosas aplicaciones de Google Play Store

Investigadores han descubierto más de 300 aplicaciones en Google Play Store que rompen el código criptográfico básico utilizando una nueva herramienta que desarrollaron para analizarlo dinámicamente.

Los académicos de la Universidad de Columbia desarrollaron una herramienta personalizada, CRYLOGGER, que analiza las aplicaciones de Android en busca de un uso inseguro del código criptográfico de acuerdo con 26 reglas básicas de criptografía. Esas reglas incluyen evitar el uso de: funciones hash rotas, contraseñas incorrectas, reutilización de contraseñas varias veces, conexiones URL HTTP o una clave “mal derivada” para el cifrado.

El equipo de investigación —compuesto por Luca Piccolboni ,   Giuseppe Di Guglielmo , Luca P. Carloni y Simha Sethumadhavan— luego lanzó 1.780 de las aplicaciones más populares en Play Store de 33 categorías diferentes. El análisis del equipo encontró que cientos de ellos están rompiendo al menos una, si no varias, hasta 18 en algunos casos, de estas reglas básicas.

La investigación arroja nueva luz sobre lo fácil que es para las aplicaciones móviles populares (las analizadas tenían de cientos de miles de descargas a más de cientos de millones) romper las reglas básicas de seguridad, señalaron los investigadores en su trabajo. Si bien las reglas que el equipo usó para analizar las aplicaciones son comunes a los desarrolladores que se especializan en criptografía, quienes crean aplicaciones móviles no son necesariamente especialistas en esta área y, por lo tanto, pueden cometer errores muy básicos.

Para realizar su análisis, los investigadores ejecutaron CRYLOGGER en las 1,780 aplicaciones mientras las estimulaban con 30,000 eventos aleatorios, calificándolo de «un buen compromiso entre el tiempo de ejecución y la cantidad de vulnerabilidades encontradas en un subconjunto de estas aplicaciones». Sus pruebas tardaron unos 10 días en ejecutarse en un emulador con Android 9.0.0r36.

Tres de las reglas de criptografía comunes que más se rompen al infringir las aplicaciones de Android fueron las reglas No. 18, 1 y 4, respectivamente, en la lista de los investigadores. Ellos son: No use un generador de números PRNG o pseudoaleatorio inseguro; no use la función hash rota; y no use el modo de operación CBC.

Los investigadores se pusieron en contacto con los desarrolladores de las 306 aplicaciones y bibliotecas de Android para revelar las vulnerabilidades; sin embargo, solo 18 desarrolladores respondieron al primer correo electrónico y solo ocho respondieron con «comentarios útiles» sobre sus hallazgos, dijeron. El equipo también se puso en contacto con seis desarrolladores de bibliotecas de Android, de los cuales dos respondieron.