Google Play ha sido desde sus comienzos comparado con el App Store de Apple, comparando las diferentes políticas entre ambos, como el no estar obligados como desarrolladores a que una aplicación pase un proceso de revisión. Esto, sin embargo, puede llevar a que en ciertas ocasiones los usuarios puedan no estar al 100% seguros de que la aplicación que se descargan es totalmente segura, debiendo basarnos en si conocemos a los desarrolladores, las críticas, los permisos…

PlayDrone, un trabajo de investigación sobre Google Play

Un estudiante de doctorado (Nicholas Viennot) y un profesor de Ciencias de la Computación (Jason Nieh) en la Universidad de Columbia, han desarrollado lo que denominaron ellos mismos PlayDrone. Esto no es más que la puesta en común de numerosas técnicas de hackeo para eludir la seguridad de Google en la descarga de aplicaciones en Google Play, pudiendo a continuación recuperar y analizar los código fuente. Pudieron llegar a decompilar más de 880.000 aplicaciones gratuitas de las 1.100.000 descargadas. Pero ampliar estos datos no es más que escalar los servidores bajo los que funcione PlayDrone.

El gran problema viene cuando Viennot y Nieh descubrieron que los desarrolladores suelen almacenar sus claves secretas en el software de sus aplicaciones, incluidas las aplicaciones que pertenecen a los Top Desarrolladores de Google Play. Esto deriva en un fallo de seguridad, que permitiría acceder a la información creada por la aplicación y posiblemente tener acceso a las cuentas en línea de los usuarios.

¿Cuál es la buena noticia aquí? Los creadores de PlayDrone están trabajando estrechamente con Google (y otros proveedores de servicios como Amazon o Facebook) para corregir este fallo de seguridad, identificando a los clientes en riesgo. De hecho, Google está utilizando PlayDrone para escanear las aplicaciones para evitar estos problemas en el futuro. Así lo confirmó Viennot:

Hemos estado trabajando en estrecha colaboración con Google, Amazon, Facebook y otros proveedores de servicios para identificar y notificar a los clientes en riesgo, haciendo que la tienda Google Play sea un lugar más seguro. Google está usando ahora nuestras técnicas para proactivamente escanear estos problemas en las aplicaciones para prevenir que esto pueda volver a ocurrir otra vez en el futuro.

No sólo eso, sino que también están contactando con los desarrolladores para eliminar dichas claves del código fuente.

¿Algún trabajo más para PlayDrone?

En efecto, PlayDrone no ha terminado aún. La herramienta encontró que aproximadamente el 25% de todas las aplicaciones gratuitas son clones de otras aplicaciones, lo que podría ser utilizado por parte de Google para hacer una limpieza de aplicaciones clonadas en Google Play. Sin duda, esto sería una gran noticia para aquellos desarrolladores realmente innovadores, pues verían cubiertas las espaldas de sus propias ideas.

Si quieres consultar PlayDrone y sus resultados en detalle, puedes consultar la publicación en este enlace. Además, podéis ver una explicación del estudio en el siguiente vídeo:

También podemos consultar el código fuente de Playdrone en GitHub.

Por otro lado, todo esto sería empezar a cerrar un poco la plataforma abierta que ahora mismo es Android y la publicación de aplicaciones en Google Play. ¿Qué hará Google al respecto?

Fuente | Columbia Engineering
Más discusión +Marcos Trujillo