Investigadores de Check Point han descubierto una vulnerabilidad en una de las aplicaciones preinstaladas en los dispositivos de Xiaomi, uno de los mayores proveedores de telefonía móvil del mundo, con casi un 8% de cuota de mercado en 2018. Los investigadores señalan que la vulnerabilidad que dejaba expuestos a los usuarios frente a ataques se encuentra en la aplicación de seguridad Guard Provider. Check Point informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada.

En el caso de esta aplicación, tanto la naturaleza insegura del tráfico de red hacia/desde el proveedor de seguridad, así como el uso de múltiples SDKs, permiten a los cibercriminales conectarse a la misma red Wi-Fi que la víctima. De esta forma podrían llevar a cabo un ataque ‘man in the middle’ (MiTM). Esta variante de ataque permite aprovechar las lagunas de comunicación existentes entre los diversos software que configuran la aplicación, dando la posibilidad al atacante de insertar cualquier tipo de código malicioso de robo de contraseñas, ransomware, rastreo del dispositivo, etc.

Check Point informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada

Los smartphones suelen incluir aplicaciones preinstaladas, algunas de las cuales son útiles y otras que nunca se utilizan. Además, muchas de estas herramientas no pueden desinstalarse. Sin embargo, lo que ningún usuario espera es que cualquiera de estas herramientas ya instaladas suponga riesgo alguno para su seguridad y la privacidad de sus datos, y mucho menos si la aplicación en cuestión tiene como función dotar de protección al smartphone.

¿Dónde se encuentra la vulnerabilidad?

Los investigadores de Check Point informan que la vulnerabilidad se encuentra en el Kit de Desarrollo de Software (SDK, del inglés Software Development Kit) de la app, un conjunto de herramientas de programación que ayuda a los desarrolladores a crear aplicaciones para una plataforma específica. En el caso de los teléfonos móviles, los SDKs reduce el tiempo de escritura de código y dotan al smartphone de estabilidad de back-end para funcionalidades no relacionadas con el núcleo de su aplicación.

Fatiga del SDK

Debido a que cada vez se incorporan más códigos a este tipo de aplicaciones, mantener su entorno de producción estable, proteger los datos de los usuarios y controlar el rendimiento se vuelve mucho más complicado. Conocido como "Fatiga del SDK", el uso de múltiples SDK dentro de la misma aplicación hace que sea más susceptible a ataques como virus, malware, violación de la privacidad, así como fallos por agotamiento de la batería, ralentización y otros problemas.

En este sentido, el uso de varios SDK en una misma aplicación da como resultado que todos estos softwares compartan la misma información. Por tanto, si uno de estos programas se ve afectado, la seguridad del resto también se ve comprometida. Además, estos sistemas almacenan información privada pero no de forma independiente, por lo que otros SDK pueden tener acceso a estos datos. De hecho, el uso de múltiples SDKs por aplicación está mucho más extendido de lo que se piensa: según un estudio de SafeDK, se utilizan más de 18 programas de este tipo por cada app. De esta forma, las organizaciones y los usuarios quedan expuestos a peligros que pueden explotarse.

¿Cómo protegerse frente a este tipo de amenazas?

Desde Check Point señalan que el personal de seguridad TI de una empresa no está obligado a conocer las características de los SDK que se emplean en el desarrollo de las apps que se utilizan en los smartphones, pero sí deben tener en cuenta los riesgos ocultos. Por tanto, la primera medida de seguridad es no dar por hecho que todos los elementos empleados para desarrollar apps son seguros, lo cuál implica desconfiar también de las herramientas de seguridad preinstaladas en el teléfono.  

Asimismo, para contrarrestar los efectos de este tipo de amenazas, Check Point cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Check Point ofrece prevención de amenazas en los dispositivos móviles de la empresa que antes solo estaba disponible en soluciones de seguridad de red y endpoints. Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de phishing en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea. Además, esta solución evita el acceso a sitios web maliciosos o restringidos, y que los dispositivos infectados accedan a los recursos corporativos y se comuniquen con botnets. Para garantizar la privacidad de los usuarios y de sus datos, SandBlast Mobile valida el tráfico en el propio dispositivo sin enrutar los datos a través de un gateway corporativo.