Si eres dueño de un smartphone de la marca Xiaomi, lo más probable es que tengas instalada una aplicación llamada Guard Provider. No es que la hayas instalado tú, sino que se trata de una app preinstalada por el fabricante. Se trata de una aplicación de seguridad, que permite activar distintos antivirus para proteger el dispositivo. La ironía es que esta herramienta es vulnerable y se ha descubierto que puede permitir realizar ataques sobre el smartphone.
Investigadores de la firma de seguridad Check Point han descubierto este fallo y han dado la voz de alarma. Esta aplicación desarrollada por Xiaomi, incluye tres antivirus diferentes (Avast, AVL y Tencent), permitiendo a los usuarios elegir entre ellos. Se estima que podría estar preinstalada en 150 millones de dispositivos.
Dicha vulnerabilidad dejaba expuestos a los usuarios frente a ataques denominados Man-in-the-Middle (MiTM), literalmente «hombre en el medio», lo que significa que alguien podría interceptar la comunicación emitida por el dispositivo.
En este caso podría aprovechar lagunas de comunicación entre los distintos programas que configuran la app, permitiendo a un atacante inyectar código malicioso para, por ejemplo, poder robar contraseñas, información, rastrear el dispositivo, insertar malware…
Check Point señala que informó a Xiaomi sobre esta vulnerabilidad, que ya ha sido subsanada.
La vulnerabilidad se encontraba en el SDK
En el caso de esta app, la vulnerabilidad se encuentra en el Kit de Desarrollo de Software (SDK), un conjunto de herramientas de programación que ayuda a los desarrolladores a crear aplicaciones para una plataforma concreta. En los smartphones, los SDK reducen el tiempo de escritura del código.
Cada vez se incorporan más códigos a este tipo de aplicaciones móviles, por lo que mantener su entorno de producción estable, controlar el rendimiento e incluso proteger los datos de los usuarios se vuelve más complicado.
Esto es lo que se denomina «fatiga del SDK«, que viene a decir que el uso de múltiples SDK dentro de una app hace que sea más vulnerable a ciberataques y problemas de seguridad, así como fallos por agotamiento de batería o ralentización.
Otro problema añadido, explican desde Check Point, es que el uso de varios SDK en una misma app implica que todos estos software compartan información. Si uno de ellos es afectado por un problema de seguridad, el resto también.
La firma de seguridad alerta de este hecho, que debe ser tenido en cuenta por los fabricantes y desarrolladores a la hora de programar sus herramientas, teniendo en cuenta los riesgos ocultos que implican.
A vueltas con el bloatware
Es otro de los problemas de las aplicaciones que vienen preinstaladas en los dispositivos y de las que los usuarios no pueden deshacerse, el denominado bloatware (software inflado o de relleno).
Un problema común entre los usuarios de Android, que ven como decenas de aplicaciones en sus dispositivos consumen espacio y recursos. Y algunas de ellas, como este caso, incluso ponen en peligro sus datos.
Xiaomi es uno de los mayores proveedores de telefonía móvil a nivel mundial, que contaba con casi un 8% de cuota de mercado en 2018.
Hace unos meses, la compañía china también fue noticia por una vulnerabilidad que incluía uno de sus patinetes eléctricos (el modelo M365 scooter), que permitía a terceros poder controlarlos de forma remota.
Un problema en el módulo de conectividad Bluethooth fue la clave en esa ocasión, que incluso podría permitir a un atacante instalar software malicioso para controlarlo de forma remota.