Aparentemente, hay muchas aplicaciones de Android que plantean riesgos de seguridad. Entre estos destacan dos que son muy populares: Xiaomi File Manager y WPS Office.
Hasta la fecha, la primera aplicación cuenta con alrededor de mil millones de descargas. El segundo ha sido instalado más de 500 millones de veces. El problema está relacionado con la facilidad que tienen los piratas informáticos para reemplazar archivos originales con elementos de malware.
Los piratas informáticos pueden robar tokens
En la práctica, esto significa que las aplicaciones quedan expuestas a acciones ilícitas por parte de estos agentes maliciosos.
En palabras de Dimitrios Valsamaras de Microsoft, «las implicaciones de este patrón de vulnerabilidad incluyen la ejecución de código arbitrario y el robo de tokens, dependiendo de la implementación de una aplicación».
Esto significa que los piratas informáticos pueden tener acceso total a una aplicación y, a través de ella, acceder a datos confidenciales. Desde acceder a cuentas online hasta otro tipo de datos, esta acción representa un gran peligro para el usuario.
Respecto a esta situación, no se puede decir que Android no tenga un mecanismo para compartir archivos bien definido. El problema es que cualquier descuido puede acarrear graves problemas.
Los agentes de malware aprovechan el hecho de que algunas aplicaciones «confían» en los archivos que contienen
En un intento de explicar esto, la misma fuente de Microsoft da un ejemplo muy técnico de lo que suele suceder.
«A menudo nos encontramos con casos en los que la aplicación no valida el contenido del archivo que recibe y, lo que es más preocupante, utiliza el nombre del archivo proporcionado por el servidor para almacenar en caché el archivo recibido en el directorio de datos interno de la aplicación del consumidor», dice Valsamaras (a través de The Noticias de piratas informáticos).
Simplificando estas palabras, significa que los piratas informáticos se aprovechan del hecho de que las aplicaciones confían en el 100% de todos los archivos que ingresan en ellas. Por eso, en ocasiones acaban por no distinguir qué podría ser perjudicial.
De esta forma, los agentes de malware tienen la capacidad de infiltrarse en las aplicaciones y obtener datos de forma inadecuada.
Después de que esta situación se hiciera pública, Xiaomi y WPS Office han intentado rectificar el problema. Sin embargo, Microsoft advierte que podría ser algo más preocupante de lo que se podría pensar.