Google quiere ayudar a los usuarios de Android a encontrar aplicaciones VPN más confiables mediante mejores alertas de credenciales para auditorías independientes. El empresario publicitario y la concesión de la nube han brindado a las aplicaciones auditadas de forma independiente en su tienda Play una muestra más destacada de su buena fe en seguridad, específicamente un banner en la parte superior de su página de Google Play. Las aplicaciones VPN son las primeras en recibir este tratamiento especial, explicó en un comunicado Nataliya Stanetsky, del equipo de seguridad y privacidad de Android de Google, porque manejan cantidades significativas de datos confidenciales. Y, por lo tanto, son un objetivo popular para la subversión de los malhechores. «Cuando un usuario busca aplicaciones VPN, ahora verá un banner en la parte superior de Google Play que le informa sobre la insignia ‘Revisión de seguridad independiente’ en la Sección de seguridad de datos», dijo Stanetsky. El año pasado, la asociación de Google con App Defense Alliance (ADA), lanzada en 2019, se amplió para incluir la Evaluación de seguridad de aplicaciones móviles (MASA), una forma de verificar las aplicaciones de Android para garantizar que cumplan con un estándar de seguridad definido por OWASP. No es una auditoría particularmente exhaustiva. Como indica el sitio web de la ADA, «MASA tiene como objetivo proporcionar más transparencia en la arquitectura de seguridad de la aplicación; sin embargo, la naturaleza limitada de las pruebas no garantiza la seguridad total de la aplicación». La ADA también advierte que MASA no verifica necesariamente las declaraciones de seguridad de los desarrolladores de aplicaciones. Obviamente, la alianza no quiere ser culpada si se le escapa algo y se le escapa una aplicación de robo de información, pero el respaldo de MASA del grupo cuenta para algo. MASA busca malas prácticas obvias, como si los datos confidenciales se escriben en los archivos de registro de la aplicación y si la aplicación reutiliza claves criptográficas para múltiples propósitos, entre sus muchas comprobaciones. Es seguro decir que estará mejor con aplicaciones que eviten esos errores, incluso si no es seguro decir que tienen la garantía de ser seguras. Al menos si MASA falla, el ecosistema de Android cuenta con otras medidas de seguridad. Como proclama con orgullo Google, intenta proteger contra PHA y MUwS: aplicaciones potencialmente dañinas y software móvil no deseado, en caso de que su traductor de galimatías no funcione. Lo hace mediante análisis de riesgos estáticos y dinámicos, recopilando datos sobre aplicaciones maliciosas, con aprendizaje automático y otros mecanismos. Anteriormente, aquellos desarrolladores de Android que enviaban sus aplicaciones para el interrogatorio de MASA y obtenían la certificación exitosa recibían una pequeña insignia oculta en la sección «Seguridad de los datos» de la aplicación. Dejando a un lado la modestia, Google Play ahora proclamará el mérito de MASA para las aplicaciones VPN de una manera que sea más fácilmente visible, usando un banner cerca de la parte superior de la lista de tiendas que enlaza con el Directorio de validación de aplicaciones. Se trata de un depósito central donde todas las aplicaciones VPN validadas (ocho en este momento) pueden considerarse separadas de otras más dudosas y de procedencia incierta. «Las investigaciones muestran que el etiquetado de seguridad transparente desempeña un papel crucial en la percepción del riesgo del consumidor, genera confianza e influye en las decisiones de compra de productos», dijo Stanetsky. «Creemos que se aplican los mismos principios para el etiquetado y las credenciales en la tienda Google Play». ®

Source link