En la tienda oficial de Android se estipula que para que una aplicación pueda ser instalada en un dispositivo tiene que estar firmada, así que usando nuestra herramienta de ciberinteligencia para aplicaciones móviles realizamos unos análisis básicos para revisar características de los certificados digitales de las aplicaciones publicadas en un día.
En promedio al día en la tienda se ponen a disposición cerca de 7000 entre aplicaciones o nuevas versiones de aplicaciones, así que es bueno revisar cuantas de esas estos nuevos desarrollos están certificados digitalmente.
No empezamos muy bien, pues como ven solo 738 entre versiones nuevas y aplicaciones nuevas están firmadas digitalmente y además la firma no es certificada por una autoridad competente, lo cual demuestra que nos solo la tienda no exige para todos el certificado sino que los desarrolladores no les preocupa entregar la garantía a sus usuarios.
Como somos conscientes que no es el único problema de seguridad que tienen las aplicaciones, continuaremos el análisis revisando cuales usan MD5 como algoritmo en el certificado, el cual está calificado como obsoleto y que se recomienda desde hace algunos años no usar.
Como se puede observar en la imagen anterior hemos encontrado 13 aplicaciones que usan el obsoleto MD5 como algoritmo en el certificado digital, esto evidencia no solo que el desarrollo no tienen en cuenta ningún parámetro de seguridad sino que seguramente deben usar firmas viejas, así que tomamos una de estas 13 aplicaciones y revisamos la firma.
Como se puede apreciar la fecha de este certificado es del 2010, lo que indica que es de hace 6 años, evidenciando que reutilizan firmas viejas para publicar aplicaciones, por lo que continuamos usando la huella de la firma para revisar si este desarrollador la ha usado en otras aplicaciones.
Como se puede apreciar este certificado ha sido usado en 1771 versiones de aplicaciones, de las cuales 487 ya no están disponibles en las tiendas. Tomamos solo 3 de estas aplicaciones que tienen nombres similares y las comparamos.
Para confirmar que usan exactamente el mismo certificado vemos la sección del análisis del certificado y como se puede observar a continuación es exactamente el mismo.
Esto evidencia las malas prácticas de los desarrolladores en momento de dar garantía de seguridad y confiabilidad en sus aplicaciones, además de los bajos controles de las tiendas de aplicaciones en cuanto a los controles de seguridad que se exigen para publicar las aplicaciones.
Por último en la comparación revisamos las fechas en las que se publicaron y crearon estas aplicaciones, encontrando que todas fueron puestas a disposición de los usuarios de Android el 20 de abril del 2016 y que todas están publicadas por “diferentes” desarrolladores.
Así hemos detectado un posible grupo de aplicaciones que ponen en riesgo a los usuarios de Android y que pueden ser usadas para propagar malware u obtener información de usuarios.
Las tiendas de aplicaciones móviles en este momento requieren que todas las aplicaciones se encuentren firmadas digitalmente con un certificado valido, que tiene como objetivo brindarle al cliente la garantía sobre la identidad del desarrollador.
Es esta la razón por la todos los desarrolladores deben empezar a darle el valor que realmente tiene el certificado digital y que no es solo un requisito que tienen que cumplir, sin importar si este brinda todas las características de seguridad y garantía del origen.
Diego Samuel Espitia Montenegro
CSA – Chief Security Ambassador
Colombia
