El gobierno hace un llamado al sector de TI para que aborde las debilidades de seguridad en las tiendas de aplicaciones utilizadas por millones para agregar funcionalidad a sus teléfonos inteligentes, tabletas y otros dispositivos conectados a Internet.
Si bien las aplicaciones brindan una forma conveniente para que los consumidores descarguen nuevas funciones en sus dispositivos, la investigación del Centro Nacional de Seguridad Cibernética (NCSC) ha resaltado el riesgo de usar aplicaciones fraudulentas que contienen malware malicioso creado por delincuentes cibernéticos, o aplicaciones mal desarrolladas que pueden ser comprometidos por piratas informáticos que aprovechan las debilidades del software.
El mercado de aplicaciones del Reino Unido tiene un valor de 18.600 millones de libras esterlinas, pero existen pocas reglas que rijan la seguridad de la tecnología o las tiendas en línea donde se venden las aplicaciones. Los ataques pueden ocurrir a través de las tiendas de aplicaciones oficiales que se supone que examinan las aplicaciones y las tiendas de aplicaciones de terceros, y donde las aplicaciones se descargan directamente a los dispositivos a través de puertas traseras no oficiales o mediante medidas de seguridad de dispositivos para romper la cárcel.
“Los dispositivos y las aplicaciones que los hacen útiles son cada vez más esenciales para las personas y las empresas, y las tiendas de aplicaciones tienen la responsabilidad de proteger a los usuarios y mantener su confianza”, dijo Ian Levy, director técnico del NCSC. “Nuestro informe de amenazas muestra que las tiendas de aplicaciones tienen más por hacer, ya que los ciberdelincuentes actualmente utilizan las debilidades de las tiendas de aplicaciones en todo tipo de dispositivos conectados para causar daño”.
Si bien la mayoría de las aplicaciones son para dispositivos móviles como teléfonos inteligentes y tabletas, el NCSC Informe de amenazas en la tienda de aplicaciones discutió una serie de estudios que cubren la debilidad de la seguridad de las aplicaciones y las tiendas de aplicaciones en dispositivos de Internet de las cosas (IoT) y plataformas de PC y consolas de juegos.
Una investigación destacada provino de investigadores de seguridad de la Universidad Estatal de Carolina del Norte y la Universidad Ruhr de Bochum, que en 2021 descubrieron que de las 90 194 habilidades de Alexa que analizaron, 358 habilidades eran capaces de solicitar información que debería estar protegida por una interfaz de programación de aplicaciones de permisos. (API).
Si bien no se sabe si esto se ha utilizado con fines maliciosos, el informe del NCSC señaló que la falta de una API de permisos podría ser un vector de ataque potencial, con la capacidad de publicar una habilidad con el nombre de cualquier desarrollador, pasando por alto las API de permisos y recuperando -Cambiar el código final después de la aprobación para desencadenar intenciones latentes.
La tienda de aplicaciones de Samsung para sus televisores inteligentes es otro ejemplo citado por el NCSC. En 2017, un investigador de seguridad reveló que había descubierto 40 vulnerabilidades de día cero en Tizen, un sistema operativo desarrollado por Samsung para su uso en televisores inteligentes, relojes inteligentes y dispositivos móviles. La más crítica de las vulnerabilidades afectó a Tizen Store, la tienda de aplicaciones utilizada en los dispositivos que ejecutan Tizen. Esta vulnerabilidad permitió la ejecución remota de código, a través del cual el investigador pudo enviar código malicioso a su televisor Samsung, advirtió el NCSC.
El gobierno del Reino Unido ha lanzado una convocatoria de opiniones de la industria tecnológica sobre los requisitos mejorados de seguridad y privacidad para las tiendas de aplicaciones y los desarrolladores de aplicaciones. Según las nuevas propuestas, se podría pedir a las tiendas de aplicaciones para teléfonos inteligentes, consolas de juegos, televisores y otros dispositivos inteligentes que se comprometan con un nuevo código de práctica que establezca requisitos básicos de seguridad y privacidad. El código propuesto requeriría que las tiendas tengan un proceso de informe de vulnerabilidades para cada aplicación para que las fallas se puedan encontrar y corregir más rápido. Necesitarían compartir más información de seguridad y privacidad de manera accesible, incluso por qué una aplicación necesita acceder a los contactos y la ubicación de un usuario.
“Las aplicaciones en nuestros teléfonos inteligentes y tabletas han mejorado nuestras vidas inmensamente, haciendo que sea más fácil realizar operaciones bancarias y comprar en línea y mantenerse conectado con amigos”, dijo la ministra de seguridad cibernética, Julia López. “Pero ninguna aplicación debería poner en riesgo nuestro dinero y nuestros datos. Es por eso que el gobierno está tomando medidas para garantizar que las tiendas de aplicaciones y los desarrolladores eleven sus estándares de seguridad y protejan mejor a los consumidores del Reino Unido en la era digital”.