CNET también está disponible en español.

Ir a español

Don't show this again

Celulares

Android: Más de 1,000 apps accedieron tus datos aunque le negaras el permiso

Los apps compilaron información como ubicación, incluso después de que los usuarios explícitamente dijeran que no. Google dice que no habrá un arreglo al problema sino hasta Android Q.

android-q-privacy-and-location-settings

Más de 1,000 apps de Android han estado ignorando la configuración de permisos, según descubrieron investigadores.

Jason Cipriani/CNET

Los permisos en las aplicaciones de Android tienen la intención de ser guardianes de la información que otorga tu teléfono. Si no quieres que una aplicación de linterna tenga la capacidad de revisar tu bitácora de llamadas, debes tener la prerrogativa de negarle el acceso. Pero incluso cuando dices que no, muchos apps encuentran la manera de darle la vuelta: investigadores descubrieron que más de 1,000 aplicaciones eludieron las restricciones, permitiendo la sustracción de información como ubicación geográfica exacta, así como identificadores de teléfono, a tus espaldas.

El descubrimiento resalta cuán difícil es mantener la privacidad en línea, particularmente si tiene que ver con tu teléfono o aplicaciones móviles. Las compañías de tecnología tienen montañas de información personal de millones de personas, incluyendo dónde han estado, quiénes son sus amigos y cuáles son sus intereses. 

Los legisladores están intentando contener eso con legislación de privacidad y los permisos de las aplicaciones son, supuestamente, para controlar la información que cedes. Apple y Google han lanzado nuevas herramientas para mejorar la privacidad de los usuarios, pero las aplicaciones siguen encontrando maneras subrepticias para esquivar esas protecciones

Investigadores del Instituto Internacional de Ciencias Computacionales (ICSI, por sus siglas en inglés) descubrió hasta 1,325 aplicaciones de Android que recaban información de los dispositivos donde están incluso después de que los usuarios explícitamente les negaron los permisos. Serge Egelman, director de seguridad utilizable e investigación de privacidad en el ICSI, presentó el estudio a finales de junio en la conferencia de privacidad de la Comisión Federal de Comercio de Estados Unidos. 

"Fundamentalmente, los consumidores cuentan con muy pocas herramientas y señales que puedan usar para controlar razonablemente su privacidad y tomar decisiones al respecto", señaló Egelman en la conferencia. "Si los desarrolladores de apps pueden darle la vuelta al sistema, entonces pedirle permisos a los consumidores es relativamente un sinsentido".

Lee: Cómo evitar que los apps de Android te espíen

Reproduciendo: Mira esto: Android Q: Las novedades más importantes
3:32

Egelman dijo que los investigadores notificaron a Google respecto de estos problemas en septiembre pasado, lo mismo que la Comisión Federal de Comercio. Google dijo que atendería esos asuntos con Android Q, el sistema operativo cuya versión oficial se espera este año. 

La actualización atenderá el problema al esconder la información de ubicación en fotos de las aplicaciones y de exigir a cualquier app que use el Wi-Fi que necesita un permiso para acceder la información de ubicación, según dijo Google. 

El estudio observó más de 88,000 aplicaciones de la tienda Google Play, rastreó cómo transferían la información de los apps cuando se negaban los permisos. Los 1,325 apps que quebrantaron los permisos en Android utilizaron herramientas ocultas en su código para obtener información personal que podría sustraer de fuentes como las conexiones de Wi-Fi y la metadata almacenada en las fotografías.

Los investigadores descubrieron que Shutterfly, una aplicación de edición de fotografía, ha recabado información de coordenadas de GPS a partir de las fotografías y las ha enviado a sus servidores, incluso cuando los usuarios declinaron otorgar el permiso a la aplicación para acceder a su ubicación. 

Una vocera de Shutterfly dijo que la compañía solo recababa información de ubicación con el permiso explícito del usuario, a pesar de la evidencia encontrada por los investigadores. 

"Como muchos servicios de fotografía, Shutterfly utiliza esta información para mejorar la experiencia del usuario con características como sugerencias de producto con categorización y personalización, todo en concordancia con las políticas de privacidad de Shutterfly al igual que con el acuerdo de desarrollador Android", dijo la compañía mediante un comunicado. 

Algunas aplicaciones dependían de otras aplicaciones que sí tuvieran el permiso para ver la información personal, siendo parásitos informáticos de los permisos otorgados a un tercero como los identificadores de llamadas. Estos apps podrían leer a través de archivos desprotegidos en la tarjeta SD de un dispositivo y recabar la información a la cual tenían negado el permiso. Entonces, si permitías que otra aplicación tuviera acceso a tu información personal y ellos la guardaban en un archivo en la tarjeta SD, las aplicaciones espías podían entrar y tomar esa información. 

Mientras que hubo solo unos 13 apps haciendo esto, estaban instalados más de 17 millones de veces, de acuerdo con los investigadores. Esto incluyen aplicaciones como Baidu, el app del parque de Disneyland en Hong Kong, aseguraron los investigadores. 

Baidu y Disney no han respondido por el momento a una solicitud de comentario. 

Hay 153 apps que tienen esa capacidad, descubrieron en la investigación, incluyendo las aplicaciones de salud y navegación de Samsung, las cuales están instaladas en más de 500 millones de dispositivos. 

Samsung no ha respondido a una solicitud de comentario hasta ahora.

Otras aplicaciones recababan la información de ubicación al conectarse con una red de Wi-Fi y descifrando la dirección MAC del router. Descubrieron esto en aplicaciones que funcionaban como controles remoto inteligentes, los cuales no necesitan tu información de ubicación para operar.

Egelman dijo que dará a conocer los detalles con una lista de las 1,325 que descubrieron los investigadores cuando presente el el estudio en la conferencia de Seguridad Usenix en agosto.

Nota del editor: Este artículo se publicó originalmente el 8 de julio de 2019.