Una investigación del Instituto Internacional de Ciencias de la Computación (ICSI, por sus siglas en inglés) reportó que hasta 1.325 aplicaciones de Android recopilaron información de los dispositivos en las que estaban instaladas, incluso cuando los usuarios negaron permisos de acceso.
Los resultados del estudio se dieron a conocer en PrivacyCon, una conferencia organizada por la Comisión Federal de Comercio de Estados Unidos, y revelaron la forma en la que los desarrolladores de aplicaciones exploraron vulnerabilidades para evadir el sistema de permisos de Android.
Serge Egelman, director de investigación del grupo de seguridad y privacidad en el ICSI, explicó en la conferencia que las aplicaciones generalmente interactúan con Android por medio de ‘carreteras’ conocidas como API, lo que le da al sistema operativo la capacidad de administrar su acceso.
Sin embargo, el sistema de archivos no siempre está protegido por estos permisos, y es ahí donde las aplicaciones aprovechan para recabar datos del dispositivo.
Investigadores asociados a este proyecto lograron concluir, tras una serie de pruebas y observación a 88.000 aplicaciones en Google Play, tres categorías de ‘exploits’ en los que se destacan aplicaciones que consiguieron datos de ubicación de dispositivos, llamadas, entre otros.
Entre las aplicaciones que siguieron esta práctica se encuentra Baidu, el motor de búsqueda chino y Shutterfly, la aplicación de intercambio de fotos ‘online’.
Según se informó en PrivacyCon, esta última trabajó en torno a la falta de permisos para los datos de ubicación al leer geoetiquetas en las fotos guardadas en los celulares y luego transmitió esas coordenadas al servidor de Shutterfly.
Al respecto, el director de comunicaciones de Shutterfly, Sondra Harding, manifestó que la aplicación solo lee las fotos después de que un usuario permita el acceso: «Hay muchas oportunidades en la experiencia del usuario para otorgar este permiso, incluida la opción de carga automática y obtención de una foto local».
El documento oficial de la investigación, titulado «50 maneras de filtrar sus datos: una exploración de la evasión de las aplicaciones del sistema de permisos de Android», solo menciona algunas de las aplicaciones que fueron detectadas con esta práctica, pero Egelman dijo que la lista completa será presentada en la Conferencia de Seguridad Usenix el próximo 14 de agosto.
EFE