Descubren 1300 apps Android que robaban datos aún con permisos denegados
Android Q resolverá estos problemas, pero si tenemos versiones anteriores tendremos que lidiar con ello.
Cuando instalamos una app, lo primero que nos sale antes de empezar son los permisos que debemos aceptar. Hay aplicaciones muy transparentes en este apartado, y otras que no tanto, y no sólo tienen acceso al micrófono, sino que como este estudio del año pasado de la Northeastern University demostró, también pueden activar la cámara del móvil para sacar fotos, grabar vídeos, y como el escándalo sufrido con la app de LaLiga, usar el GPS del teléfono para saber dónde estás exactamente.
Negar permisos a una app
Entonces, si les negamos los permisos a una aplicación, ésta en teoría no puede acceder a las zonas del terminal y el sistema operativo a las que le hemos dicho que ‘no’. Recalcamos lo de en teoría, porque se ha descubierto que no es así, al menos en Android. Según la web CNET, un estudio presentado por el ICSI (International Computer Science Institute) el mes pasado en el evento PrivacyCon, ha revelado que actualmente hay más de 1 000 aplicaciones Android que se saltan las limitaciones impuestas al negarles los permisos de acceso durante su instalación.
En el informe se distinguen dos técnicas diferentes a la hora de circunvenir la seguridad de un permiso denegado:
- Canales Paralelos: Esta técnica trata de obtener acceso a una información en particular de una manera que no está cubierta por el mecanismo de seguridad. Como ejemplo tenemos las apps capaces de rastrear la localización de un dispositivo usando la dirección MAC de este, algo que Android Pie se encargó de atajar al introducir la aleatorización de las direcciones MAC.
- Canales Cubiertos: Esta técnica usa dos servicios que cooperan para enviar datos del servicio que sí tiene un acceso válido al servicio que no lo tiene. Como ejemplo, una aplicación a la que le han concedido el permiso de acceder a la localización de un dispositivo podría compartir ese dato de posicionamiento con una app a la que le han denegado ese mismo permiso.
Más de 1 300 apps
El informe ICSI analiza 88 133 de las aplicaciones más populares de Android de la Google Play Store de Estados Unidos, descubriendo que más de 1 300 apps que, al negarles los permisos que nos exigen al ser instaladas, hacen uso de las técnicas de canales paralelos o canales cubiertos para saltarse la seguridad de Android. El listado completo no se conocerá hasta la Usenix Security Conference del próximo agosto, aunque el ICSI ya ha contactado con Google.
De hecho, el informe fue enviado a Google antes de hacerlo público. Y lo único que el gigante de la Red ha dicho es que los cambios en la seguridad y privacidad que ha introducido en el próximo Android 10 Q se encargarán de solventar estos fallos de seguridad. Eso sí, si tienes un móvil que corre bajo Android 9 Pie o anterior, Google básicamente no puede hacer nada por evitar que se sigan colando estas apps. Pues menudo consuelo…