Los permisos en Android no son tan fiables: cazan apps capaces de burlarlos

Los permisos en Android no son tan fiables: cazan apps capaces de burlarlos

Aunque Android tiene un completo sistema de permisos estos no logran el 100 % de efectividad: han descubierto que aplicaciones Android pueden burlarlos.

Una de las estratagemas que tienen algunas aplicaciones Android para obtener datos personales es la de abusar de los permisos que concede el usuario. Estamos más que acostumbrados a verlo: apps de la Google Play que piden accesos que no necesitan. Podemos pensar que retirando dichos permisos las apps no pueden acceder a los datos, pero esto no es 100 % seguro. Investigadores lo han corroborado.

Como publicaron los investigadores en junio, y han descubierto recientemente en CNET, una notable cantidad de aplicaciones Android, algunas muy populares, encontraron la manera de obtener datos personales de los usuarios incluso a pesar de que les negaran los permisos. No es ni mucho menos lo habitual, pero no por ello deja de ser peligroso.

De las más de 88 000 apps estudiadas 1325 violaban los permisos de Android

Los permisos en Android no son tan fiables: cazan apps capaces de burlarlos

Por lo general todos pensamos que basta quitarle el permiso de localización a una app para que esta no pueda leerlo, por ejemplo, del GPS. Como demostraron investigadores que se dedicaron a analizar los mecanismos de las aplicaciones, algunas conseguían vulnerar las restricciones incluso aunque los usuarios protegiesen el acceso retirando los permisos.

Los mecanismos para vulnerar los permisos son variados. Algunos de los más utilizados son los siguientes:

  • Aplicaciones pueden obtener direcciones MAC de los puntos de acceso accediendo a la caché ARP. También haciendo uso de vulnerabilidades de Unity.
  • Aplicaciones como Baidu y Salmonads registran datos como el IMEI para otras apps que no tienen ese permiso. Estos datos tan cruciales se almacenan en el teléfono; estando accesibles para otros desarrolladores que conocen la vulnerabilidad.
  • Aplicaciones sin acceso a la localización utilizan los datos de ubicación de las imágenes para obtener las direcciones precisas del teléfono.
  • Existen apps que utilizan canales encubiertos para traspasarse información privada. Por ejemplo, una aplicación consigue acceso al IMEI y le envía esta información de manera encubierta a otra app que no tiene dicho acceso.
  • Hay aplicaciones que se aprovechan de vulnerabilidades conocidas de otras apps, APIs y servicios para obtener datos a los que no tienen acceso.

Los investigadores publicaron un completo paper y también  comunicaron sus descubrimientos a Google. La empresa tiene constancia de las formas en las que diversas apps esquivan los permisos; y corregirá estas vulnerabilidades en Android 10 Q. Los desarrolladores tendrán mucho más restringidos los permisos y el acceso a la información privada del usuario.

Como suele ocurrir, la mejor manera de protegernos es utilizar el sentido común e instalar el menor número de aplicaciones posible. Siempre de desarrolladores conocidos y vigilando bien los permisos que piden las apps. Es cierto que existen riesgos de que se vulneren dichos permisos, pero este hecho es algo poco frecuente.

Mostrar comentarios
Vídeos El Androide Libre
Análisis del Samsung Galaxy A80
Análisis de Samsung Galaxy Tab A 10.1 2019
Guía de compra para móviles Xiaomi
Controla tu móvil SIN TOCARLO – SÓLO CON LA VOZ!
Cómo AHORRAR DATOS en INSTAGRAM
Análisis Xiaomi Mi 9T
Análisis Xiaomi Mi True Wireless
Análisis Amazon Kindle Fire 7 2019
TRUCAZO: Acelera los audios de WHATSAPP #STOPTURRAS
Cómo pasar de audio a texto automáticamente
Análisis OPPO Reno 10x Zoom
Samsung Galaxy M20 vs Xiaomi Redmi Note 7
¿Sin ESPACIO en Android? Cómo LIMPIAR tu móvil
Análisis Huawei P30 Lite
Google ROMPE con Huawei: cómo te afecta
Cómo actualizar tu móvil Huawei u Honor, todas las maneras
Análisis del LG V50 ThinQ 5G, el pionero con doble pantalla