Las aplicaciones híbridas -esto es, las aplicaciones que los desarrolladores crean en HTML o JavaScript, lenguajes que suelen reservarse para las páginas web- se han popularizado durante los últimos años, pero Andrew Whaley (en la foto), vicepresidente de ingeniería de la firma de seguridad Arxan Technologies, advierte que sus creadores tienen que andarse con cuidado, porque son más vulnerables ante los ataques.

Whaley ha explicado a Mobile World Live que “las aplicaciones híbridas se han vuelto extremadamente populares, porque el código base puede usarse en varias plataformas y ahorran al desarrollador el arduo trabajo de tener que recrearlo partiendo de cero cada vez”.

De este modo, pueden acceder a las tiendas tanto de Android como de Apple, ahorrando mucho tiempo y recursos. También facilitan la entrada en nuevos mercados como el de televisores inteligentes, porque la arquitectura de las aplicaciones para móvil ordinarias es muy distinta de la que encontramos en otros medios y su transposición a estos exige una ardua labor.

Las aplicaciones híbridas son especialmente populares en juegos para móvil y aplicaciones multimedia. Pero son más vulnerables a los ataques que las aplicaciones móviles escritas en código binario nativo, porque la ingeniería inversa y la manipulación de aplicaciones móviles escritas en JavaScript y HTML suele ser mucho más sencilla.

Whaley explica que “si la aplicación funciona en un navegador web e incorpora todas las capacidades del navegador, también es más fácil que los atacantes utilicen técnicas como las de los ataques mediante suplantación de identidad (man-in-the-middle), en las que se interceptan los datos a medida que se transmiten”.

Los atacantes pueden aprovechar dichos defectos para robar información almacenada o enviada mediante la aplicación, en lo que podrían incluirse datos confidenciales como puede ser la información financiera y personal, y los detalles biométricos que se usan en la verificación de identidad.

Una vez el atacante consigue entrar en una de las aplicaciones, puede usarla como vector para que el software malicioso ataque a otras aplicaciones del dispositivo de la víctima, e incluso a la empresa que produce la propia aplicación.

Protección

Según Whaley, uno de los enfoques más efectivos y accesibles para la protección de las aplicaciones híbridas es “combinar ofuscación con técnicas de protección en tiempo de ejecución, y aplicarlas al código JavaScript o HTML de la aplicación”.

Se llama ofuscación al proceso de transponer los programas de software a un código difícil de desensamblar y de comprender, pero que ofrece las mismas funcionalidades que el original.

El software conserva toda su funcionalidad, pero adquiere una resistencia extrema a la ingeniería inversa, porque los usuarios no autorizados no pueden usar de ningún modo el código.

La protección en tiempo de ejecución, por su parte, es la capacidad que tiene la aplicación de detectar por sí misma si ha sufrido manipulaciones externas o se halla bajo ataque.

Whaley afirma que “los controles contra manipulaciones externas se pueden introducir en el propio código, a fin de que se efectúen sumas de verificación durante el tiempo de ejecución. Cada vez que se abre, la aplicación híbrida supervisa su propio código para confirmar que se preserva en su estado original y no ha sufrido manipulaciones externas.”

La aplicación también es capaz de determinar si se ha cargado en un dispositivo móvil normal, y no en los entornos de pruebas que los atacantes suelen usar cuando hackean aplicaciones.

Dicho recurso está oculto dentro del código de JavaScript, con lo que no dejará de funcionar aunque se desmonte la aplicación.

Los consumidores deben precaverse

Las aplicaciones híbridas no son las únicas que plantean problemas de seguridad. Otras aplicaciones también pueden ser vulnerables.

Whaley afirma que “el principal riesgo que corre el consumidor es que ofrezca al atacante control sobre el dispositivo y todo lo que éste contiene”.

Ahora que la mayoría de las personas utiliza el teléfono móvil para casi todo, la intrusión de un atacante puede tener efectos catastróficos y abrir la puerta a amenazas tales como la suplantación de identidad y el fraude financiero a gran escala.

El directivo explica que “algunos de los malware para móvil más maliciosos que se encuentran hoy en día se sirven de una serie de técnicas avanzadas para hacerse con el control de las funciones de pantalla táctil, llamada y SMS, con el objetivo de entrar en aplicaciones bancarias seguras”.

Los usuarios tienen que mostrarse muy precavidos con lo que se descargan en el dispositivo. Un truco habitual de los atacantes para colar el malware consiste en introducirlo en una falsificación de una aplicación ya existente y muy popular. Los atacantes más expertos utilizan código extraído de la aplicación original y crean un clon convincente que se podrá hacer pasar por la aplicación normal e infectará el dispositivo del usuario.

Los consumidores deberían bajarse las aplicaciones tan solo de las tiendas oficiales. Whaley aconseja que “si bien los atacantes son cada vez más hábiles en esquivar las medidas de seguridad de las tiendas de aplicaciones, los consumidores tienen que andarse con cuidado y evitar todas las aplicaciones que parezcan sospechosas”.