La naturaleza abierta del sistema operativo Android de Google deja a los fabricantes añadir su propia capa de software para el teléfono,lo que les permite diferenciarse de los demás en aspecto y funciones. Sin embargo, una investigación acaba de demostrar que esta adaptación también podría ser responsable de una serie de fallos de seguridad que podrían hacer que los teléfonos fueran más vulnerables ante los piratas informáticos.

El trabajo, realizado por investigadores de ciencias informáticas de la Universidad Estatal de Carolina del Norte (EEUU), los cambios que hicieron los fabricantes al stock de software Android fueron responsables de más del 60% de los problemas de seguridad detectados en los teléfonos de diferentes compañías telefónicas.

Uno de los autores y profesor asociado de ciencias informáticas en la universidad dedicado a investigar el malware móvil, Xuxian Jiang, declara: "Estamos sorprendidos por la inseguridad en general". Jiang considera muy significativo el hecho de que algunos fabricantes de teléfonos no se toman muy en serio la seguridad, y sienten una presión constante por lanzar nuevas características de software al mercado.

En su estudio, los investigadores analizaron 10 smartphones Android. Cinco usaron variaciones de la cuarta generación de software de Android, y otros cinco la segunda generación (entre medias, Google lanzó la versión 3.2, también conocida como Honeycomb, que fue diseñada para tabletas). Los investigadores probaron un teléfono con cada una de las dos versiones de Android de Samsung, HTC, LG y Sony, incluyendo el popular Samsung Galaxy S3 y el HTC One X, y otros dos teléfonos de marca Google (el Nexus S y Nexus 4, fabricados por Samsung y LG, respectivamente) que sirvieron principalmente como marcos de referencia, ya que no incluyen los mismos skins personalizados de software que se encuentran en muchos otros teléfonos Android.

Con el fin de averiguar cuáles son las vulnerabilidades de seguridad y dónde se originaron, los investigadores aislaron primero las aplicaciones que venían cargadas en los teléfonos inteligentes en tres categorías, teniendo en cuenta cuáles venían del proyecto de código abierto de Google Android, cuáles fueron creadas o personalizadas por el fabricante de teléfonos inteligentes, y qué otras procedían de programadores externos.

A continuación, analizaron los datos y características que las aplicaciones deseaban utilizar, como por ejemplo la capacidad de acceder a fotos y marcar números de teléfono de tus contactos, para averiguar qué aplicaciones solicitaban permisos que no utilizaban realmente. Las aplicaciones con más permisos de los que necesitan son problemáticas porque pueden poner los datos personales, como nombres de usuario y números de tarjetas de crédito, bajo un mayor riesgo de verse comprometidos si la aplicación es pirateada.

Los investigadores encontraron que el 86% de las aplicaciones precargadas en los smartphones pedía más permisos de los necesarios, y la mayoría de las aplicaciones que solicitan estos accesos, y que podrían considerarse más intrusivas, habían sido añadidas por los fabricantes de teléfonos inteligentes como parte de sus procesos de personalización. Puesto que están integradas con el sistema operativo, las aplicaciones añadidas por los fabricantes pueden obtener un mayor acceso a permisos que las creadas por desarrolladores de aplicaciones externas.

El principal investigador de seguridad de la compañía de software de seguridad móvil Lookout, Marc Rogers, señala que el problema de estas aplicaciones  instrusivas es común entre los desarrolladores de aplicaciones en general, no sólo entre proveedores específicos. "Si nos fijamos en el mercado, hay bastantes aplicaciones que tienen este problema porque el desarrollador ha querido solicitar tantos permisos como sea posible en caso de que los necesite'", afirma.

Los investigadores también buscaron problemas de seguridad que pudieran permitir a las aplicaciones actuar como si tuvieran permiso para hacer cosas que no estaban autorizadas a hacer, o que pudieran permitir que las aplicaciones compartiesen datos confidenciales de los usuarios sin su permiso.

En general, los investigadores determinaron que entre el 65% y el 85% de las 177 vulnerabilidades de seguridad en los teléfonos de Samsung, HTC y LG se originaron a partir de las personalizaciones del fabricante. El 38% de las 16 deficiencias encontradas en los teléfonos inteligentes Sony provinieron de esa fuente.

Rogers, que ya ha visto con anterioridad cómo las personalizaciones de los proveedores producen problemas de seguridad (por ejemplo, uno derivado de la personalización que hizo Samsung de la pantalla de bloqueo de Galaxy S3), afirma que, independientemente de dónde se originen los problemas, cualquier cambio en el software Android contribuye a la fragmentación del sistema operativo y puede presentar vulnerabilidades de las que Google no hace un seguimiento.

Los investigadores del estudio aseguran que trataron de contactar con los fabricantes de teléfonos inteligentes para informarles de las cuestiones de seguridad que encontraron, pero no todos respondieron. Los fabricantes de teléfonos inteligentes y Google tampoco quisieron hacer comentarios para este artículo.

Sin embargo, Jiang espera que el estudio ayude a los proveedores y usuarios a reconocer este tipo de problemas de seguridad. "Esperemos que la próxima generación de teléfonos sea mucho más segura", concluye.