Un estudio llevado a cabo sobre aplicaciones para el iPhone y el sistema Android ha revelado que muchos de estos programas secretamente recogen y transmiten información personal de los usuarios.

La aplicación del Proyecto Genoma, lanzada por la compañía de seguridad móvil Lookout, analizó todas las aplicaciones disponibles a través de la App Store de Apple y el Android Market de Google. Los desarrolladores deben describir la funcionalidad de las aplicaciones cuando las presentan a cualquiera de las tiendas. Apple realiza su propia revisión antes de hacer que una aplicación se pueda descargar.

Los investigadores de Lookout escanearon más de 300.000 aplicaciones móviles y realizaron un análisis más profundo sobre aproximadamente un tercio de ellas. El proyecto reveló que muchos desarrolladores no ponen de manifiesto el comportamiento de recolección de datos de una aplicación en sus descripciones. Sin embargo puede que esto no sea algo deliberado—los desarrolladores a menudo incluyen componentes de software de terceros en sus aplicaciones, sin examinar el comportamiento del componente, aseguran los investigadores.

Un número significativo de las aplicaciones estudiadas llevaban a cabo funciones que el desarrollador no había revelado. Por ejemplo, un tercio de todas las aplicaciones gratis para el iPhone intentaban acceder a la ubicación geográfica del usuario. Para la plataforma Android, alrededor de un 29 por ciento de las aplicaciones gratis intentaron acceder a los datos de localización. Por lo menos un 8 por ciento de todas las aplicaciones gratis de Android y el 14 por ciento de todas las aplicaciones gratis del iPhone también intentaron acceder a la lista de contactos del usuario. Tanto el SO del iPhone y el Android emitieron advertencias a los usuarios cuando una aplicación quiso acceder a información delicada. Sin embargo la advertencia no le afirma al dueño del teléfono qué datos quiere recoger la aplicación, o dónde va a enviarlos.

Los investigadores descubrieron que una aplicación para Android que permite al usuario cambiar el fondo en su teléfono también envía el número de teléfono y otra información específica del usuario a un servidor en China.

"Las aplicaciones móviles hacen un montón de cosas que la gente no espera que hagan", afirma el director general de Lookout John Hering. Añade que los componentes de software de terceros a menudo recogen información sin previo aviso a los desarrolladores. "Los usuarios finales y los desarrolladores tienen muy poca idea de lo que sucede en las aplicaciones que están utilizando y programando".

La aplicación del Proyecto Genoma encontró que alrededor del 47 por ciento de las aplicaciones de Android y el 23 por ciento de aplicaciones gratis del iPhone incluyen algún código de terceros. Estos "frameworks de aplicación" hacen que sea más fácil construir una aplicación, aunque pueden hacer que una aplicación termine haciendo cosas que el desarrollador no tenía intención de hacer. "Gran parte de esta fuga de información no se debe a que el desarrollador quiera que así ocurriese, sino que viene dada por los frameworks de aplicación", afirma Hering.

Trevor Hawthorn, director gerente de la empresa de software Stratum Security, afirma que muchos desarrolladores de aplicaciones no saben cómo comprobar si el código de terceros es malicioso o no. Por ejemplo, Hawthorn ha descubierto que algunas aplicaciones de juegos recopilan información sobre la ubicación de forma que se pueda utilizar para rastrear a los jugadores a medida que avanzan en torno a una ciudad o por todo el país. Esto es posible, afirma Hawthorn, simplemente porque la mayoría de los desarrolladores conocen los conceptos de seguridad de software pero no conocen los detalles. "Cuando integran el software de terceros en su aplicación", señala Hawthorn, "muy rara vez llevan a cabo una evaluación de seguridad de la aplicación, o revisan el código. Y los atacantes lo saben".

Los investigadores de Lookout afirman que los componentes de otros fabricantes pueden introducir vulnerabilidades de software que los atacantes podrían utilizar para tomar el control de un teléfono. "Apple y Google están haciendo un gran trabajo tratando de mantener estas plataformas seguras, aunque eso no tiene ningún valor si los desarrolladores introducen vulnerabilidades utilizando kits de desarrollo de terceros", afirma Hering.

Es difícil actualizar el software de terceros, por lo que las vulnerabilidades pueden persistir durante más tiempo, asegura Hawthorn. "Observamos lo mismo cuando internet empezó a despegar, cuando se dio el intercambio de archivos peer-to-peer, las transmisiones inalámbricas, las redes sociales, las nubes, y ahora los móviles", afirma. "Sólo después de que la comunidad de seguridad comience a trabajar en ese campo podremos comenzar a determinar las implicaciones de seguridad y privacidad de la tecnología".