Más de 1.325 aplicaciones Android violan la denegación de permisos. Fuente: PxHere

Samsung o Disney, entre las ‘apps’ que te espían el móvil sin permiso

stop

Una investigación académica revela más de 1.300 aplicaciones que han robado datos de dispositivos Android

Barcelona, 10 de julio de 2019 (17:35 CET)

Más de 1.300 aplicaciones en Android recopilan información de tu teléfono a pesar de que les hayas denegado los permisos para hacerlo. Este es el resultado de una investigación realizada por el Instituto Internacional de Ciencias de la Computación en colaboración con el Instituto Madrileño de Estudios Avanzados (IMEA).

El artículo, que fue presentado ante la Comisión Federal del Comercio de los Estados Unidos a finales de junio, detalla que más de un millar de estas aplicaciones violan los permisos que los usuarios de Android les dan para recopilar datos de sus teléfonos, como por ejemplo los relativos a las conexiones a redes WiFi o los metadatos de las fotos.

Todavía no ha trascendido la lista completa de apps implicadas —será presentada en un congreso en los EEUU a mediados de agosto—, pero sí se ha desvelado que algunas de estas aplicaciones son la app oficial para el parque de atracciones Disneyland en Hong Kong, o los navegadores oficiales de Samsung o Samsung Health.

CNET, portal que ha publicado un artículo sobre esta investigación, se ha puesto en contacto con Disney y Baidu —la desarrolladora de la app para el parque de atracciones—, así como con Samsung, pero ninguna ha querido hacer declaraciones al respecto.

Cómo se saltan los permisos de Android estas apps

Al instalar una aplicación en tu Android, puedes elegir qué permisos darle a los programas y cuáles no. Así, puedes impedir a una app cuya función sea la de hacer de linterna en el teléfono —por ejemplo— no recopile datos sobre tu ubicación.

Sin embargo, los investigadores descubrieron que, de más de 88.000 aplicaciones analizadas, al menos 1.325 violaban la denegación de permisos. Para ello, utilizan atajos ocultos en su código.

Google ya ha confirmado que corregirán estos problemas con esta gran actualización

Si les impides acceder a los datos de tu teléfono sobre tu localización, estas apps estarían utilizando los metadatos de tus fotos o tus conexiones a redes WiFi para averiguar igualmente dónde te encuentras.

Uno de los autores de la investigación es el director de usabilidad, seguridad y privacidad del Instituto Internacional de Ciencias de la Computación, ubicado en Berkeley, CaliforniaSerge Egelman ha recordado a CNET que los consumidores tienen "muy pocas herramientas que puedan utilizar para hacer un control razonable de su privacidad".

"Si los desarrolladores de aplicaciones pueden sortear la protección del sistema, pedirle permisos a los usuarios no sirve de nada", ha lamentado.

Google corregirá estos problemas en la próxima gran actualización 

Mientras se espera que el lanzamiento de Android 10 se dé a finales de este año, Google ya ha confirmado —a instancias de estos investigadores— que corregirán estos problemas con esta gran actualización: se protegerán los metadatos de las fotos y todas aquellas apps que hagan uso de redes WiFi también tendrán que preguntar al usuario si le dan permiso para acceder a datos sobre la localización del dispositivo.

Una de las apps implicadas es Shutterfly, una aplicación para la edición de fotos. Ha estado recopilando coordenadas GPS de los metadatos de las fotos de sus usuarios y enviándolas a sus propios servidores a pesar de que los consumidores declinaban su autorización. 

android android phone apps Edge plus mockup phone S6 Edge samsung 937576
Será el próximo 15 de agosto cuando se amplíen los detalles de las 1.325 apps implicadas. Fuente: PxHere

Una portavoz de Shutterfly ha defendido ante CNET que solo recopilan datos con el permiso explícito del usuario, a pesar de lo que han desvelado los investigadores.

"Como muchos otros servicios de fotografía, Shutterfly usa los datos para mejorar la experiencia de usuario con recomendaciones personalizadas", dijo la firma en un comunicado.

Dos españoles han participado en esta investigación

El profesor del Instituto Madrileño de Estudios Avanzados, Narseo Vallina-Rodríguez, y su alumno, Álvaro Feal, de la Universidad Carlos III de Madrid, han participado en esta relevante investigación a nivel internacional que ya ha sido presentada ante el Gobierno de los Estados Unidos y sobre la que se ampliará información en agosto.

El equipo, encabezado por Egelman y otros investigadores del ICSI o de la Universidad de California, como Primal Wijesekera, Amit Elazari, fue presentado el pasado 28 de junio en una conferencia sobre privacidad que se divulgó ante la Comisión Federal del Comercio estadounidense.

Será el próximo 15 de agosto cuando se amplíen los detalles de las 1.325 apps implicadas en este robo masivo de datos en una conferencia sobre seguridad que se impartirá en el marco de un congreso de la fundación USENIX.

Noticia original de Business Insider.

Suscribir a boletines

Al suscribirte confirmas nuestra política de privacidad